Plattform
drupal
Komponente
drupal
Behoben in
10.3.14
10.4.5
11.0.13
11.1.5
7.0.1
10.3.14
CVE-2025-31675 describes a Cross-Site Scripting (XSS) vulnerability within Drupal Core. This vulnerability allows attackers to inject malicious scripts into web pages, potentially leading to unauthorized access and data compromise. The issue impacts Drupal core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5. A fix is available in Drupal 10.3.14.
Die CVE-2025-31675-Schwachstelle in Drupal Core stellt ein Cross-Site Scripting (XSS)-Risiko dar. Dies bedeutet, dass ein Angreifer bösartigen Code in Webseiten einer Drupal-Seite injizieren kann, der dann im Browser der Benutzer ausgeführt wird, die diese Seiten besuchen. Die potenziellen Auswirkungen umfassen den Diebstahl sensibler Informationen (wie Sitzungscookies), die Weiterleitung von Benutzern auf bösartige Websites oder die Veränderung des Seiteninhalts. Die Schwachstelle betrifft mehrere Versionen von Drupal Core: von 8.0.0 vor 10.3.14, von 10.4.0 vor 10.4.5, von 11.0.0 vor 11.0.13 und von 11.1.0 vor 11.1.5. Es ist entscheidend, Drupal Core auf eine gepatchte Version zu aktualisieren, um dieses Risiko zu mindern. Die Ursache für dieses Problem ist eine unsachgemäße Neutralisierung von Eingaben während der Webseitengenerierung, die die Injektion von bösartigem Code ermöglicht.
Die Schwachstelle wird durch die Injektion von bösartigem Code in Eingabefelder ausgenutzt, die nicht ordnungsgemäß bereinigt werden, bevor sie auf der Webseite angezeigt werden. Ein Angreifer könnte diese Schwachstelle ausnutzen, um bösartige Skripte in Formulare, Kommentare oder andere Felder einzufügen, in die Benutzer Daten eingeben können. Diese Skripte würden im Browser des Benutzers ausgeführt, wodurch der Angreifer bösartige Aktionen ausführen könnte. Die Komplexität der Ausnutzung hängt von der spezifischen Position der Schwachstelle und der Drupal-Website-Konfiguration ab. Das Fehlen von Validierung und Maskierung von Benutzereingaben ist der Schlüsselfaktor, der die Ausnutzung dieser XSS-Schwachstelle ermöglicht.
Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.
• drupal: Check Drupal core version using drush --version.
• drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts.
• generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters.
• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
disclosure
Exploit-Status
EPSS
0.27% (50% Perzentil)
CVSS-Vektor
Die primäre Lösung zur Minderung von CVE-2025-31675 ist die Aktualisierung von Drupal Core auf Version 10.3.14 oder höher, 10.4.5 oder höher, 11.0.13 oder höher oder 11.1.5 oder höher. Diese Versionen enthalten die notwendigen Fixes, um die XSS-Code-Injektion zu verhindern. Darüber hinaus sollten Sie alle benutzerdefinierten oder Drittanbieter-Module überprüfen und aktualisieren, die möglicherweise mit Benutzereingaben interagieren. Die Implementierung einer Content Security Policy (CSP) kann eine zusätzliche Schutzschicht bieten, indem sie die Quellen des Inhalts einschränkt, die der Browser laden kann. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Durch die Anwendung dieser Sicherheitsmaßnahmen können Sie Ihre Drupal-Website vor der Ausnutzung dieser Schwachstelle schützen.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.14 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.5 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.13 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.5 o superior. Si está utilizando la versión 7.x-1.x, actualice a una versión posterior a 7.x-1.12.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Betroffene Versionen sind Drupal Core 8.0.0 vor 10.3.14, 10.4.0 vor 10.4.5, 11.0.0 vor 11.0.13 und 11.1.0 vor 11.1.5.
Sie können die Drupal Core-Version auf der Verwaltungsseite der Website im Abschnitt 'Website-Informationen' überprüfen.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Websites einzuschleusen.
CSP ist ein Sicherheitsmechanismus, der es Website-Administratoren ermöglicht, die Quellen des Inhalts zu steuern, den der Browser laden kann, wodurch das Risiko von XSS-Angriffen reduziert wird.
Sie finden weitere Informationen zur CVE-2025-31675-Schwachstelle auf der Drupal-Sicherheitsseite: [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine composer.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.