Plateforme
drupal
Composant
webform
Corrigé dans
9.2.18
9.3.12
La CVE-2022-25273 concerne une validation incorrecte des entrées dans l'API de formulaire de Drupal Core. Certains modules personnalisés ou contribués peuvent être vulnérables, permettant à un attaquant d'injecter des valeurs non autorisées ou de modifier des données sensibles. Les versions affectées incluent Drupal Core ≤9.2.9. La vulnérabilité est corrigée dans la version 9.2.18.
La vulnérabilité CVE-2022-25273 dans Drupal Core affecte l'API de formulaires, permettant aux attaquants d'injecter des valeurs non autorisées ou de remplacer des données dans les formulaires provenant de modules contribues ou personnalisés. Bien que les formulaires concernés soient peu courants, dans certains cas, un attaquant pourrait altérer des données critiques ou sensibles. Le risque réside dans le manque de validation adéquate des entrées utilisateur dans certains formulaires. Cela pourrait conduire à la manipulation de la logique de l'application ou à l'exposition d'informations confidentielles. La sévérité CVSS est de 7,5, ce qui indique un risque élevé. Il est crucial de mettre à jour vers la version 9.2.18 pour atténuer cette vulnérabilité. Le non-respect de cette mise à jour pourrait laisser les sites web vulnérables à des attaques ciblées exploitant cette faiblesse dans l'API de formulaires. La nature de l'API de formulaires signifie que la vulnérabilité pourrait affecter un large éventail de fonctionnalités du site web, en fonction de la manière dont les formulaires sont utilisés.
Un attaquant pourrait exploiter cette vulnérabilité en injectant des données malveillantes dans un formulaire vulnérable via une requête HTTP. Ces données malveillantes pourraient être utilisées pour remplacer des données existantes, modifier la logique de l'application ou même exécuter du code arbitraire, en fonction de la configuration du site web et des autorisations de l'utilisateur. L'exploitation réussie de cette vulnérabilité pourrait entraîner une perte de données, une altération de la fonctionnalité du site web ou même un contrôle total du serveur. La difficulté de l'exploitation dépendra de la complexité du formulaire et des mesures de sécurité mises en œuvre. Il est important de noter que Drupal 7 n'est pas affecté par cette vulnérabilité.
Statut de l'Exploit
EPSS
0.28% (percentile 52%)
Vecteur CVSS
La principale mesure d'atténuation pour CVE-2022-25273 est de mettre à jour Drupal Core vers la version 9.2.18 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour résoudre la vulnérabilité de validation des entrées dans l'API de formulaires. De plus, il est recommandé d'examiner les modules contribues et personnalisés qui utilisent l'API de formulaires pour s'assurer qu'ils mettent en œuvre une validation des entrées robuste. Des audits de sécurité réguliers peuvent aider à identifier et à corriger les vulnérabilités potentielles dans les formulaires. La mise en œuvre de politiques de sécurité strictes pour la gestion des données et le contrôle d'accès peut également réduire l'impact potentiel d'une attaque réussie. La surveillance des journaux du serveur à la recherche d'activités suspectes liées à la manipulation des formulaires est une pratique recommandée pour détecter et répondre aux attaques potentielles.
Actualice el módulo Webform a la versión 9.2.18 o superior, o a la versión 9.3.12 o superior de Drupal Core. Esta actualización corrige una vulnerabilidad de inyección de valores no permitidos debido a una validación de entrada inadecuada en ciertos formularios, lo que podría permitir a un atacante alterar datos críticos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'API de formulaires de Drupal est un système qui permet aux développeurs de créer et de gérer des formulaires web dans un site Drupal.
La version 9.2.18 contient les correctifs nécessaires pour atténuer la CVE-2022-25273, protégeant ainsi votre site web contre les attaques potentielles.
Si vous utilisez une version de Drupal antérieure à la 9.2.18, vous êtes probablement vulnérable. Effectuez un audit de sécurité pour confirmer.
Examinez le code de vos modules personnalisés qui utilisent l'API de formulaires pour vous assurer qu'ils mettent en œuvre une validation des entrées appropriée.
Non, Drupal 7 n'est pas affecté par cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.