Plattform
drupal
Komponente
core
Behoben in
9.3.19
9.4.3
CVE-2022-25276 describes a cross-site scripting (XSS) vulnerability within the Drupal Core's Media oEmbed iframe route. The vulnerability arises from insufficient validation of the iframe domain setting, potentially allowing embeds to execute in the primary domain's context. Successful exploitation could lead to XSS attacks, leaked cookies, or other security issues. This affects Drupal Core versions up to and including 9.3.9. The vulnerability is fixed in Drupal version 9.3.19.
CVE-2022-25276 in Drupal Core betrifft die oEmbed-Iframe-Route innerhalb des Media-Moduls. Die Schwachstelle liegt in der unzureichenden Validierung der Iframe-Domänen-Einstellung, die es ermöglicht, Einbettungen im Kontext der Hauptdomain anzuzeigen. Dies kann potenziell zu Cross-Site Scripting (XSS)-Angriffen, Cookie-Leaks oder anderen Sicherheitslücken führen. Das Risiko ist besonders hoch für Websites, die häufig Einbettungen von Drittanbietern verwenden, da ein Angreifer diese Schwäche ausnutzen könnte, um bösartigen Code in geschützte Seiten einzuschleusen und so die Sicherheit der Benutzer und die Integrität der Website zu gefährden. Ein Upgrade auf Drupal 9.3.19 oder höher ist entscheidend, um dieses Risiko zu mindern. Drupal 7 ist nicht betroffen, da es das Media-Modul nicht enthält.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige oEmbed-Iframe erstellt, die auf eine nicht vertrauenswürdige Domain verweist. Wenn die Drupal-Website die Iframe-Domäne nicht korrekt validiert, wird der bösartige Inhalt im Kontext der Hauptdomain geladen, wodurch der Angreifer beliebigen JavaScript-Code im Browser des Benutzers ausführen kann. Dies könnte verwendet werden, um Sitzungscookies zu stehlen, Benutzer auf bösartige Websites umzuleiten oder sogar den Inhalt der Website zu ändern. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Konfiguration der Website und dem Vorhandensein von benutzerdefinierten Modulen oder Code ab, die mit dem Media-Modul interagieren.
Exploit-Status
EPSS
1.26% (79% Perzentil)
CVSS-Vektor
Die primäre Lösung zur Behebung von CVE-2022-25276 ist ein Upgrade von Drupal Core auf Version 9.3.19 oder höher. Dieses Update enthält die erforderlichen Fixes, um die oEmbed-Iframe-Domäne korrekt zu validieren. Überprüfen und aktualisieren Sie außerdem alle benutzerdefinierten Module, die das Media-Modul und dessen oEmbed-Funktionalitäten verwenden. Die Implementierung einer Content Security Policy (CSP) kann eine zusätzliche Schutzschicht bieten, indem die Quellen von Inhalten eingeschränkt werden, die auf der Website geladen werden können. Die Überwachung der Site-Protokolle auf verdächtige Aktivitäten ist ebenfalls eine empfohlene Praxis, um potenzielle Exploit-Versuche zu erkennen und darauf zu reagieren.
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Nein, Drupal 7 wird nicht betroffen, da es das Media-Modul nicht enthält.
Wenn Sie nicht sofort aktualisieren können, sollten Sie eine Content Security Policy (CSP) implementieren, um das Risiko zu mindern.
oEmbed ist ein Protokoll, das die Einbettung von Inhalten von externen Websites in Ihre Drupal-Website ermöglicht.
Sie können die Drupal-Version auf der Verwaltungsseite der Website im Abschnitt 'Website-Informationen' überprüfen.
Ja, es gibt verschiedene Drupal-Schwachstellenscanner, sowohl kostenlose als auch kostenpflichtige.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine composer.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.