Plateforme
drupal
Composant
drupal
Corrigé dans
9.3.6
9.2.13
9.2.13
9.2.13
La CVE-2022-25270 est une vulnérabilité de divulgation d'informations affectant le module Quick Edit de Drupal Core. Elle permet à des utilisateurs avec la permission "access in-place editing" de visualiser du contenu auquel ils ne devraient pas avoir accès. Les sites sont affectés si le module Quick Edit est installé (profil Standard). La version 9.3.6 corrige cette vulnérabilité.
La vulnérabilité CVE-2022-25270 affecte le module Quick Edit dans Core, permettant aux utilisateurs disposant de la permission 'accès à la modification en place' de visualiser du contenu auquel ils ne devraient pas avoir accès. Ceci est dû à une vérification incorrecte des accès aux entités dans certaines circonstances. Le risque est considéré comme modéré (CVSS 6.5). Les sites ne sont affectés que si le module Quick Edit (qui est inclus dans le profil Standard) est installé. L'exposition d'informations sensibles, bien que limitée, pourrait compromettre l'intégrité des données et la sécurité du site web. La gravité de l'impact dépend de la sensibilité du contenu accessible sans autorisation.
Un attaquant disposant de la permission 'accès à la modification en place' pourrait exploiter cette vulnérabilité pour visualiser du contenu auquel il n'aurait normalement pas accès. Cela pourrait inclure des informations sensibles, telles que les données personnelles des utilisateurs, les informations financières ou le contenu restreint. L'exploitation nécessite que le module Quick Edit soit installé et que l'attaquant possède la permission mentionnée. L'attaque ne nécessite pas d'authentification supplémentaire au-delà de la permission existante, ce qui facilite son exécution. La complexité de l'exploitation est faible, car aucune connaissance technique avancée n'est requise.
Sites utilizing the Drupal Standard profile with the Quick Edit module enabled are specifically at risk. Organizations relying on Drupal for content management and with strict access control requirements should prioritize patching. Shared hosting environments using Drupal Standard are also particularly vulnerable due to the pre-installed Quick Edit module.
• drupal: Check Drupal core version using drush --version. If ≤9.3.5, the system is potentially vulnerable.
• drupal: Verify Quick Edit module is enabled using drush en quickedit. Disable if not required.
• drupal: Review user roles and permissions to ensure only authorized users have 'access in-place editing'.
• generic web: Monitor Drupal logs (typically in /var/log/apache2/error.log or similar) for unusual access patterns or errors related to Quick Edit.
disclosure
Statut de l'Exploit
EPSS
0.25% (percentile 49%)
Vecteur CVSS
La solution recommandée est de mettre à jour Core à la version 9.3.6 ou supérieure. Cette mise à jour corrige la validation des permissions dans le module Quick Edit, empêchant l'accès non autorisé au contenu. Si une mise à jour immédiate n'est pas possible, examinez attentivement les permissions des utilisateurs et restreignez l'accès à la modification en place uniquement à ceux qui en ont besoin. Surveillez également les journaux du site web à la recherche d'activités suspectes pouvant indiquer une exploitation de cette vulnérabilité. L'application régulière de correctifs de sécurité est une pratique fondamentale pour maintenir la sécurité de tout système.
Actualice Drupal Core a la versión 9.3.6 o 9.2.13, o una versión posterior. Esto solucionará la vulnerabilidad en el módulo Quick Edit.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un module de Core qui permet de modifier le contenu directement sur la page, sans avoir besoin d'accéder à l'éditeur complet.
Si vous avez le module Quick Edit installé (qui est inclus dans le profil Standard), votre site web est potentiellement vulnérable. Vérifiez la version de Core que vous utilisez.
Examinez les permissions des utilisateurs et restreignez l'accès à la modification en place uniquement à ceux qui en ont besoin. Surveillez les journaux du site web.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la revue manuelle des permissions et la vérification de la version de Core sont suffisantes.
Tout contenu auquel l'utilisateur ne devrait pas avoir accès, comme les données personnelles, les informations financières ou le contenu restreint.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.