Plataforma
drupal
Componente
drupal
Corregido en
1.0.3
1.0.4
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el módulo Login Time Restriction de Drupal Core. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado. Afecta a versiones del módulo anteriores a la 1.0.3 y se recomienda actualizar a la versión 1.0.3 para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad para realizar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. Esto podría incluir la modificación de la configuración del módulo, la creación de nuevas cuentas de usuario o la eliminación de usuarios existentes. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad de todo el sitio Drupal. La naturaleza de CSRF implica que el ataque se realiza a través de una interacción del usuario, como hacer clic en un enlace malicioso o visitar un sitio web comprometido.
La vulnerabilidad fue publicada el 28 de enero de 2026. No se han reportado casos de explotación activa en el momento de la publicación. La severidad es alta debido a la facilidad de explotación de las vulnerabilidades CSRF y el potencial impacto en la seguridad del sitio Drupal. Se recomienda monitorear la situación y aplicar la actualización o mitigaciones lo antes posible.
Drupal sites utilizing the Login Time Restriction module, particularly those with sensitive data or critical functionality, are at risk. Sites running older, unpatched versions of Drupal are especially vulnerable. Shared hosting environments where users have limited control over installed modules also face increased risk.
• drupal: Check the version of the Login Time Restriction module using drush pm-info logintimerestriction. If the version is less than 1.0.3, the system is vulnerable.
• generic web: Monitor Drupal site logs for suspicious POST requests originating from different IP addresses than the authenticated user's. Use a WAF to block requests without valid CSRF tokens.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
Vector CVSS
La mitigación principal es actualizar el módulo Login Time Restriction a la versión 1.0.3 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de protección CSRF adicionales, como el uso de tokens CSRF en todos los formularios y la validación de la cabecera Referer. Además, se debe revisar la configuración del sitio Drupal para asegurar que se apliquen las mejores prácticas de seguridad, como la restricción del acceso a áreas sensibles del sitio.
Actualice el módulo Login Time Restriction a la versión 1.0.3 o superior. Esta versión corrige la vulnerabilidad CSRF. Puede actualizar a través de la interfaz de administración de Drupal o descargando la nueva versión desde Drupal.org y reemplazando los archivos del módulo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13982 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Drupal Login Time Restriction module, allowing attackers to perform unauthorized actions.
You are affected if you are using Drupal Login Time Restriction version 1.0.3 or earlier. Upgrade to 1.0.3 to mitigate the risk.
Upgrade the Drupal Login Time Restriction module to version 1.0.3 or later. Implement CSRF token protection as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Drupal security advisory page for the latest information and updates regarding CVE-2025-13982.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo composer.lock y te decimos al instante si estás afectado.