Die Drupal Erweiterung „SVG Image“ (siehe https://www.drupal.org/sa-contrib-2020-008) ist anfällig für Cross-Site-Scripting-Attacken. Davor warnt das Drupal-Projekt auf seiner Website: https://www.drupal.org/sa-contrib-2020-008
Mit einem eben erschienenen Update wird das Problem beseitigt, heißt es. Kritisch ist, wie Heise auch berichtet, dass mit diesem Modul Useruploads möglich sind, wobei keine ausreichende Code-Prüfung stattfindet, so dass Scriptcode nach dem Uplaod eventuell zur Ausführung gebracht werden kann.
Es handelt sich um eine recht beliebte Erweiterung, mit der man Bilder und Grafiken im SVG.-Format einbinden kann. Drupal berichtet von 21.629 Sites, die dieses Modul einsetzen. Fast 250.000 Downloads hat man gemessen.