MEDIUMCVE-2024-12393CVSS 5.4

Drupal Core Cross-Site Scripting (XSS)

Plateforme

drupal

Composant

drupal

Corrigé dans

10.2.11

10.3.9

11.0.8

10.2.11

AI Confidence: highNVDEPSS 1.9%Révisé: mars 2026

Voir sur NVD

Sauvegarder

CVE-2024-12393 est une vulnérabilité de type Cross-Site Scripting (XSS) affectant Drupal Core. Cette faille, avec un score CVSS de 5.4, est due à une mauvaise désinfection des messages d'état. Les versions affectées sont 8.8.0 à 10.2.11, 10.3.0 à 10.3.9, et 11.0.0 à 11.0.8. La version 10.2.11 de Drupal inclut un correctif.

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2024-12393 dans Drupal Core affecte la manière dont les messages de statut sont rendus en utilisant JavaScript. Dans certaines configurations, ces messages ne sont pas correctement assainis, ce qui pourrait permettre à un attaquant d'injecter du code JavaScript malveillant. Ce code pourrait être exécuté dans le navigateur d'un utilisateur, compromettant potentiellement la sécurité du site web. La sévérité de la vulnérabilité est notée 5.4 sur l'échelle CVSS, indiquant un risque modéré. Les versions concernées incluent Drupal Core à partir de 8.8.0 jusqu'à 10.2.11, 10.3.0 jusqu'à 10.3.9 et 11.0.0 jusqu'à 11.0.8. Une exploitation réussie pourrait entraîner l'exécution de code arbitraire, le vol d'informations sensibles ou la manipulation du site web.

Contexte d'Exploitation

La vulnérabilité est exploitée par l'injection de code JavaScript dans les messages de statut. Un attaquant pourrait y parvenir en manipulant les données utilisées pour générer ces messages, en profitant du manque d'assainissement approprié. Le contexte d'exploitation dépend de la configuration spécifique du site Drupal et des fonctionnalités qui utilisent des messages de statut rendus avec JavaScript. L'exploitation nécessite que l'attaquant ait la capacité d'influencer les données utilisées pour générer les messages de statut, ce qui pourrait être réalisé par le biais de diverses vulnérabilités dans les modules ou les thèmes personnalisés. L'exécution du code injecté dépend de la configuration du navigateur de l'utilisateur et des politiques de sécurité du site web.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

NextGuard83% encore vulnérables

EPSS

1.89% (percentile 83%)

Vecteur CVSS

Logiciel Affecté

Composantdrupal

Fournisseurosv

Plage affectéeCorrigé dans

8.8.0 – 10.2.1110.2.11

10.3.0 – 10.3.910.3.9

11.0.0 – 11.0.811.0.8

8.8.010.2.11

10.3.010.2.11

11.0.010.2.11

Classification de Faiblesse (CWE)

CWE-79

Chronologie

Réservé2024-12-09
Publiée2024-12-10
Modifiée2025-12-10
EPSS mis à jour2026-04-02

Corrigé -19 jours après la divulgation

Mitigation et Contournements

La solution recommandée est de mettre à jour Drupal Core vers une version corrigée. Plus précisément, mettez à jour vers la version 10.2.11 ou supérieure, 10.3.9 ou supérieure, ou 11.0.8 ou supérieure. Ces versions incluent des correctifs qui traitent de la vulnérabilité d'assainissement JavaScript dans les messages de statut. Si une mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que l'examen attentif du code JavaScript personnalisé et la désactivation temporaire des fonctionnalités qui utilisent des messages de statut rendus avec JavaScript. Il est crucial d'appliquer la mise à jour dès que possible pour minimiser le risque d'exploitation. Des tests approfondis doivent être effectués après la mise à jour pour garantir la fonctionnalité du site web.

Comment corriger

Mettez à jour Drupal Core vers la dernière version disponible. Pour les versions 8.8.x à 10.2.x, mettez à jour vers la version 10.2.11 ou supérieure. Pour les versions 10.3.x, mettez à jour vers la version 10.3.9 ou supérieure. Pour les versions 11.0.x, mettez à jour vers la version 11.0.8 ou supérieure.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2024-12393 — Cross-Site Scripting (XSS) dans Drupal Core ?

Drupal Core à partir de 8.8.0 jusqu'à 10.2.11, 10.3.0 jusqu'à 10.3.9 et 11.0.0 jusqu'à 11.0.8.

Suis-je affecté(e) par CVE-2024-12393 dans Drupal Core ?

Vérifiez la version de Drupal Core que vous utilisez. Si elle se situe dans les plages concernées, il est probable qu'elle soit vulnérable.

Comment corriger CVE-2024-12393 dans Drupal Core ?

L'assainissement JavaScript est le processus de nettoyage et de validation du code JavaScript pour supprimer ou neutraliser tout code malveillant.

CVE-2024-12393 est-il activement exploité ?

Envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que l'examen du code JavaScript personnalisé et la désactivation temporaire des fonctionnalités qui utilisent des messages de statut.

Où trouver l'avis officiel de Drupal Core pour CVE-2024-12393 ?

Drupal propose des outils de mise à jour intégrés et des modules tiers qui peuvent simplifier le processus de mise à jour.

NextGuard

Vulnérabilités

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required: Faible — tout compte utilisateur valide est suffisant.
User Interaction: Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope: Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality: Faible — accès partiel ou indirect à certaines données.
Integrity: Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability: Aucun — aucun impact sur la disponibilité.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

Drupal

Détecte cette CVE dans ton projet

Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.

Téléverser composer.lock