Plataforma
drupal
Componente
drupal
Corregido en
1.7.0
2.0.2
8.0.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el módulo Drupal Automated Logout. Esta falla permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta 1.7.0, así como a la versión 2.0.0 anterior a 2.0.2. La solución recomendada es actualizar el módulo a la versión 2.0.2.
Un atacante podría explotar esta vulnerabilidad para realizar acciones en nombre de un usuario autenticado sin su consentimiento. Esto podría incluir la modificación de la configuración del módulo, la eliminación de datos o la ejecución de acciones que el usuario normalmente no realizaría. El impacto potencial es significativo, especialmente en entornos donde el módulo Automated Logout se utiliza para proteger información sensible o para controlar el acceso a recursos críticos. La explotación exitosa podría comprometer la integridad y confidencialidad de los datos almacenados en el sitio Drupal.
La vulnerabilidad fue publicada el 26 de marzo de 2026. No se han reportado activamente campañas de explotación en este momento. No se ha añadido a KEV. Se recomienda monitorear la situación y aplicar la actualización lo antes posible para evitar posibles ataques.
Websites using Drupal with the Automated Logout module installed, particularly those running vulnerable versions (2.0.0–8.x-1.7). Sites with less stringent access controls to the Automated Logout configuration are at higher risk.
• drupal / module: Check Drupal module versions for Automated Logout.
drush pm-info --title --core --modules --themes --profiles | grep Automated Logout• drupal / configuration: Review Automated Logout configuration settings for unexpected changes. • generic web: Monitor access logs for suspicious requests targeting Automated Logout endpoints.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el módulo Drupal Automated Logout a la versión 2.0.2 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de los tokens CSRF en todas las solicitudes que modifiquen la configuración del módulo. Además, se pueden implementar políticas de seguridad que limiten los privilegios de los usuarios y reduzcan la superficie de ataque. Después de la actualización, confirme la mitigación revisando los registros del servidor en busca de intentos de ataque CSRF.
Actualice el módulo Automated Logout a la versión 1.7.0 o superior, o a la versión 2.0.2 o superior, según corresponda a su rama de versión. Esto corregirá la vulnerabilidad de Cross-Site Request Forgery (CSRF).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4393 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el módulo Drupal Automated Logout que permite a atacantes realizar acciones no autorizadas.
Si está utilizando Drupal Automated Logout en las versiones 2.0.0–8.x-1.7 o 2.0.0 antes de 2.0.2, es vulnerable a esta vulnerabilidad.
Actualice el módulo Drupal Automated Logout a la versión 2.0.2 o superior para mitigar el riesgo.
Hasta el momento, no se han reportado activamente campañas de explotación, pero se recomienda aplicar la actualización lo antes posible.
Consulte el sitio web de Drupal para obtener información oficial sobre la vulnerabilidad y las actualizaciones disponibles: [https://www.drupal.org/security/advisories/CVE-2026-4393](https://www.drupal.org/security/advisories/CVE-2026-4393)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo composer.lock y te decimos al instante si estás afectado.