Plateforme
drupal
Composant
core
Corrigé dans
9.3.19
9.4.3
La vulnérabilité CVE-2022-25276 affecte Drupal Core et concerne une validation incorrecte du domaine iframe dans le module Media oEmbed. Cela pourrait potentiellement mener à une exécution de scripts intersites (XSS), à une fuite de cookies ou à d'autres vulnérabilités. Les versions de Drupal Core inférieures ou égales à 9.3.9 sont affectées. La version 9.3.19 corrige cette faille de sécurité.
La vulnérabilité CVE-2022-25276 dans Drupal Core affecte la route de l'iframe oEmbed au sein du module Media. La faille réside dans la validation inadéquate du paramètre de domaine de l'iframe, permettant l'affichage d'intégrations dans le contexte du domaine principal. Cela peut potentiellement conduire à des attaques de Cross-Site Scripting (XSS), à la fuite de cookies, ou à d'autres vulnérabilités de sécurité. Le risque est accru pour les sites web utilisant massivement des intégrations tierces, car un attaquant pourrait exploiter cette faiblesse pour injecter du code malveillant dans des pages protégées, compromettant la sécurité des utilisateurs et l'intégrité du site. La mise à niveau vers Drupal 9.3.19 ou une version ultérieure est cruciale pour atténuer ce risque. Drupal 7 n'est pas affecté car il ne comprend pas le module Media.
Un attaquant pourrait exploiter cette vulnérabilité en créant une iframe oEmbed malveillante pointant vers un domaine non fiable. Si le site Drupal ne valide pas correctement le domaine de l'iframe, le contenu malveillant sera chargé dans le contexte du domaine principal, permettant à l'attaquant d'exécuter du code JavaScript arbitraire dans le navigateur de l'utilisateur. Cela pourrait être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants ou même modifier le contenu du site web. La probabilité d'exploitation dépend de la configuration du site et de la présence de modules ou de code personnalisé qui interagissent avec le module Media.
Statut de l'Exploit
EPSS
1.26% (percentile 79%)
Vecteur CVSS
La solution principale pour résoudre CVE-2022-25276 est de mettre à niveau Drupal Core vers la version 9.3.19 ou ultérieure. Cette mise à niveau inclut les corrections nécessaires pour valider correctement le domaine de l'iframe oEmbed. De plus, examinez et mettez à jour tous les modules personnalisés qui utilisent le module Media et ses fonctionnalités oEmbed. La mise en œuvre d'une politique de sécurité de contenu (CSP) peut fournir une couche de protection supplémentaire en restreignant les sources de contenu pouvant être chargées sur le site web. La surveillance des journaux du site à la recherche d'activités suspectes est également une pratique recommandée pour détecter et répondre aux tentatives d'exploitation potentielles.
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Non, Drupal 7 n'est pas affecté car il ne comprend pas le module Media.
En attendant de pouvoir effectuer la mise à niveau, envisagez de mettre en œuvre une politique de sécurité de contenu (CSP) pour atténuer le risque.
oEmbed est un protocole qui permet d'intégrer du contenu provenant de sites web externes dans votre site Drupal.
Vous pouvez vérifier la version de Drupal sur la page d'administration du site, dans la section 'Informations sur le site'.
Oui, il existe plusieurs outils d'analyse de vulnérabilités pour Drupal, gratuits et payants.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.