Plattform
drupal
Komponente
drupal
Behoben in
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
CVE-2024-12393 describes a Cross-Site Scripting (XSS) vulnerability within Drupal Core. This flaw arises from insufficient sanitization of status messages rendered via JavaScript, potentially allowing attackers to inject malicious scripts into the affected Drupal site. This impacts Drupal Core versions from 8.8.0 before 10.2.11, from 10.3.0 before 10.3.9, and from 11.0.0 before 11.0.8. The vulnerability is fixed in Drupal version 10.2.11.
Die CVE-2024-12393-Schwachstelle in Drupal Core betrifft die Art und Weise, wie Statusmeldungen mit JavaScript gerendert werden. In bestimmten Konfigurationen werden diese Meldungen nicht ausreichend bereinigt, was es einem Angreifer ermöglichen könnte, bösartigen JavaScript-Code einzuschleusen. Dieser Code könnte im Browser eines Benutzers ausgeführt werden und so die Sicherheit der Website gefährden. Die Schwere der Schwachstelle wird mit 5.4 auf der CVSS-Skala bewertet, was ein moderates Risiko anzeigt. Betroffene Versionen umfassen Drupal Core ab 8.8.0 vor 10.2.11, ab 10.3.0 vor 10.3.9 und ab 11.0.0 vor 11.0.8. Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code, zum Diebstahl sensibler Informationen oder zur Manipulation der Website führen.
Die Schwachstelle wird durch die Injektion von JavaScript-Code in Statusmeldungen ausgenutzt. Ein Angreifer könnte dies erreichen, indem er die Daten manipuliert, die zum Generieren dieser Meldungen verwendet werden, und die unzureichende Bereinigung ausnutzt. Der Ausnutzungskontext hängt von der spezifischen Drupal-Website-Konfiguration und den Funktionen ab, die Statusmeldungen verwenden, die mit JavaScript gerendert werden. Um die Statusmeldungen zu generieren, muss der Angreifer in der Lage sein, die verwendeten Daten zu beeinflussen, was über verschiedene Schwachstellen in benutzerdefinierten Modulen oder Themes erreicht werden könnte. Die Ausführung des injizierten Codes hängt von der Browserkonfiguration des Benutzers und den Sicherheitsrichtlinien der Website ab.
Exploit-Status
EPSS
1.89% (83% Perzentil)
CVSS-Vektor
Die empfohlene Lösung ist, Drupal Core auf eine gepatchte Version zu aktualisieren. Aktualisieren Sie insbesondere auf Version 10.2.11 oder höher, 10.3.9 oder höher oder 11.0.8 oder höher. Diese Versionen enthalten Patches, die die JavaScript-Bereinigungsschwachstelle in Statusmeldungen beheben. Wenn ein sofortiges Update nicht möglich ist, sollten Sie vorübergehende Maßnahmen zur Risikominderung ergreifen, z. B. den benutzerdefinierten JavaScript-Code sorgfältig prüfen und Funktionen, die Statusmeldungen verwenden, die mit JavaScript gerendert werden, vorübergehend deaktivieren. Es ist entscheidend, das Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu minimieren. Nach dem Update sollten umfassende Tests durchgeführt werden, um die Funktionalität der Website sicherzustellen.
Actualice Drupal Core a la última versión disponible. Para las versiones 8.8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Drupal Core ab 8.8.0 vor 10.2.11, ab 10.3.0 vor 10.3.9 und ab 11.0.0 vor 11.0.8.
Überprüfen Sie die Version von Drupal Core, die Sie verwenden. Wenn sie innerhalb der betroffenen Bereiche liegt, ist sie wahrscheinlich anfällig.
JavaScript-Bereinigung ist der Prozess der Bereinigung und Validierung von JavaScript-Code, um jeglichen bösartigen Code zu entfernen oder zu neutralisieren.
Erwägen Sie, vorübergehende Maßnahmen zur Risikominderung zu ergreifen, z. B. den benutzerdefinierten JavaScript-Code zu prüfen und Funktionen, die Statusmeldungen verwenden, vorübergehend zu deaktivieren.
Drupal bietet integrierte Update-Tools und Drittanbieter-Module, die den Aktualisierungsprozess vereinfachen können.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine composer.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.