Drupal Core vulnérable à la navigation forcée
Plateforme
drupal
Composant
drupal
Corrigé dans
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
La vulnérabilité CVE-2025-31673, affectant Drupal Core, est due à une autorisation incorrecte, permettant la navigation forcée. Cette faille peut être exploitée sur les versions antérieures ou égales à 9.5.9. L'impact potentiel est un accès non autorisé à des ressources. La version 10.3.13 de Drupal Core corrige cette vulnérabilité.
Détecte cette CVE dans ton projet
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2025-31673 dans Drupal Core, notée CVSS 4.6, permet une navigation forcée (Forceful Browsing) en raison d'une autorisation incorrecte. Cela signifie qu'un attaquant pourrait potentiellement accéder à des informations sensibles ou effectuer des actions non autorisées sur le site Drupal sans les identifiants appropriés. La vulnérabilité affecte plusieurs versions de Drupal Core : de la 8.0.0 avant la 10.3.13, de la 10.4.0 avant la 10.4.3, de la 11.0.0 avant la 11.0.12 et de la 11.1.0 avant la 11.1.3. Le risque est modéré, mais la facilité d'exploitation pourrait entraîner un impact significatif si elle n'est pas corrigée à temps. La navigation forcée peut révéler des données internes, des chemins de fichiers et potentiellement des informations de configuration système.
Contexte d'Exploitation
La navigation forcée se produit lorsqu'un attaquant peut accéder à des pages ou à des ressources au sein d'un site web sans autorisation appropriée. Dans le contexte de Drupal, cela pourrait impliquer l'accès à des fichiers de configuration, des pages d'administration ou des données sensibles en manipulant les URL ou les paramètres de requête. Un attaquant peut utiliser des outils de numérisation automatisés pour identifier les faiblesses d'autorisation et exploiter la vulnérabilité. Le succès de l'exploitation dépend de la configuration spécifique du site Drupal et des mesures de sécurité mises en œuvre. L'absence d'une validation adéquate des permissions sur certaines routes est la cause principale de cette vulnérabilité.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.28% (percentile 51%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution pour atténuer cette vulnérabilité est de mettre à jour Drupal Core vers la dernière version disponible : 10.3.13, 10.4.3, 11.0.12 ou 11.1.3, selon votre version actuelle. Il est crucial d'appliquer cette mise à jour dès que possible pour protéger votre site web contre d'éventuelles attaques. De plus, examinez les permissions des utilisateurs et les rôles pour vous assurer que seuls les utilisateurs autorisés ont accès aux zones sensibles du site. Des audits de sécurité réguliers peuvent également aider à identifier et à corriger d'autres vulnérabilités potentielles. La mise à jour est la solution la plus efficace et directe pour éliminer cette menace.
Comment corriger
Mettez à jour Drupal core vers la dernière version disponible. Si vous utilisez une version antérieure à la 10.3.x, mettez à jour vers la version 10.3.13 ou supérieure. Si vous utilisez la version 10.4.x, mettez à jour vers la version 10.4.3 ou supérieure. Si vous utilisez la version 11.0.x, mettez à jour vers la version 11.0.12 ou supérieure. Si vous utilisez la version 11.1.x, mettez à jour vers la version 11.1.3 ou supérieure.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2025-31673 dans Drupal Core ?
C'est une technique d'attaque qui permet à un attaquant d'accéder à des pages ou à des ressources sans autorisation appropriée.
Suis-je affecté(e) par CVE-2025-31673 dans Drupal Core ?
Drupal 8.0.0 - 10.3.12, 10.4.0 - 10.4.2, 11.0.0 - 11.0.11 et 11.1.0 - 11.1.2.
Comment corriger CVE-2025-31673 dans Drupal Core ?
Accédez au panneau d'administration de Drupal et vérifiez la version dans la section informations sur le site.
CVE-2025-31673 est-il activement exploité ?
Mettez en œuvre des mesures de sécurité supplémentaires, telles que le renforcement des permissions des utilisateurs et la surveillance du site à la recherche d'activités suspectes.
Où trouver l'avis officiel de Drupal Core pour CVE-2025-31673 ?
Il existe des scanners de sécurité web qui peuvent détecter cette vulnérabilité, mais la mise à jour reste la solution la plus efficace.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.