Plateforme
drupal
Composant
drupal
Corrigé dans
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
CVE-2024-55636 est une vulnérabilité potentielle d'Object Injection affectant Drupal Core. Cette faille, avec un score CVSS potentiel CRITICAL, pourrait mener à la suppression de fichiers si combinée à une autre vulnérabilité. Les versions ≤9.5.9 sont concernées. La version 10.2.11 de Drupal inclut un correctif.
La CVE-2024-55636 affecte le cœur de Drupal, présentant une vulnérabilité potentielle d'injection d'objets PHP. Combinée à un autre exploit, elle pourrait entraîner une suppression arbitraire de fichiers. Il est important de noter que cette vulnérabilité n'est pas directement exploitable dans son état actuel. Le score CVSS a été évalué à 9,8, ce qui indique un risque élevé, mais l'exigence d'une condition préalable limite considérablement son impact immédiat.
L'exploitation réussie de la CVE-2024-55636 dépend de la présence d'une autre vulnérabilité qui permet la manipulation de l'entrée vers la fonction unserialize(). Sans cette condition préalable, l'injection d'objets PHP ne peut pas être utilisée pour la suppression de fichiers. La communauté Drupal surveille activement la situation et recommande de maintenir le cœur et les modules à jour afin de minimiser tout risque potentiel.
Organizations running Drupal Core versions 9.5.9 and earlier, particularly those with complex module configurations or custom code that might introduce vulnerabilities allowing input to unserialize(), are at risk. Shared hosting environments utilizing Drupal Core are also potentially vulnerable due to the shared nature of the infrastructure.
disclosure
Statut de l'Exploit
EPSS
8.79% (percentile 92%)
Vecteur CVSS
L'atténuation principale réside dans le fait que pour exploiter cette vulnérabilité, une vulnérabilité distincte doit être présente, permettant à un attaquant de transmettre des entrées non sécurisées à la fonction unserialize(). Actuellement, il n'existe pas d'exploits connus dans le cœur de Drupal qui répondent à cette exigence. Drupal a mis en œuvre des mesures préventives, notamment l'ajout de types aux propriétés de certains de ses composants, afin de renforcer la sécurité et de réduire la surface d'attaque.
Mettez à jour Drupal Core vers la dernière version disponible. Pour les versions 8.x à 10.2.x, mettez à jour vers la version 10.2.11 ou supérieure. Pour les versions 10.3.x, mettez à jour vers la version 10.3.9 ou supérieure. Pour les versions 11.0.x, mettez à jour vers la version 11.0.8 ou supérieure.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela indique un risque élevé, mais la nécessité d'une vulnérabilité préalable limite l'exploitation.
Oui, la mise à jour vers la version 10.2.11 ou supérieure est fortement recommandée pour appliquer les atténuations.
Actuellement, il n'existe pas d'exploits connus dans le cœur de Drupal qui permettent une exploitation directe.
Maintenez Drupal et tous les modules à jour, et examinez la sécurité de tout module tiers.
C'est une technique qui permet à un attaquant d'injecter des objets PHP malveillants dans une application.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.