Plateforme
drupal
Composant
drupal
Corrigé dans
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
CVE-2024-55637 est une vulnérabilité potentielle d'Object Injection affectant Drupal Core. Cette faille, avec un score CVSS potentiel CRITICAL, pourrait mener à l'exécution de code à distance si combinée à une autre vulnérabilité. Les versions ≤9.5.9 sont concernées. La version 10.2.11 de Drupal inclut un correctif.
La CVE-2024-55637 affecte Drupal Core, révélant une vulnérabilité potentielle d'injection d'objets PHP. Bien que la vulnérabilité elle-même ait un score CVSS de 9.8, indiquant un risque critique, elle n'est pas directement exploitable dans son état actuel. La gravité découle de la possibilité d'une exécution de code à distance (RCE) si elle est combinée à une autre vulnérabilité. L'injection d'objets PHP permet à un attaquant de manipuler la création d'objets au sein du code, ce qui, dans des circonstances spécifiques, pourrait entraîner l'exécution de code malveillant. Il est important de noter que cette vulnérabilité est considérée comme potentielle et nécessite l'existence d'une seconde vulnérabilité pour être déclenchée.
L'exploitation de la CVE-2024-55637 nécessite un contexte très spécifique. Pour déclencher la vulnérabilité, un attaquant doit d'abord trouver une vulnérabilité dans Drupal Core ou un module contribué qui permet l'injection de données non sécurisées dans la fonction unserialize(). Une fois cette injection réussie, l'attaquant peut exploiter la vulnérabilité d'injection d'objets PHP pour exécuter du code malveillant. Actuellement, il n'existe pas d'exploits actifs connus qui tirent parti de cette combinaison de vulnérabilités au sein de Drupal Core, ce qui réduit considérablement le risque immédiat.
Organizations utilizing Drupal Core versions 9.5.9 and earlier, particularly those with custom modules or themes, are at increased risk. Shared hosting environments running Drupal are also vulnerable, as they may lack control over core updates. Any deployment relying on untrusted input being processed by Drupal's unserialization functions is potentially at risk.
disclosure
Statut de l'Exploit
EPSS
7.61% (percentile 92%)
Vecteur CVSS
L'atténuation principale de la CVE-2024-55637 se concentre sur la mise à niveau vers la version 10.2.11 de Drupal Core. Cette mise à jour introduit des améliorations dans la gestion des types de propriétés, ce qui rend plus difficile l'exploitation de la vulnérabilité d'injection d'objets. De plus, il est essentiel de surveiller en permanence la sécurité de votre site Web Drupal, de rechercher et de corriger toute autre vulnérabilité qui pourrait permettre l'injection de données non sécurisées dans la fonction unserialize(). La mise en œuvre de bonnes pratiques de codage sécurisé, telles que la validation et la désinfection de toutes les entrées utilisateur, contribue également à réduire le risque de sécurité global.
Mettez à jour Drupal Core vers la dernière version disponible. Pour les versions 8.x à 10.2.x, mettez à jour vers la version 10.2.11 ou supérieure. Pour les versions 10.3.x, mettez à jour vers la version 10.3.9 ou supérieure. Pour les versions 11.0.x, mettez à jour vers la version 11.0.8 ou supérieure.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Oui, il est fortement recommandé de mettre à jour vers la version 10.2.11 pour atténuer cette vulnérabilité potentielle.
C'est une technique qui permet à un attaquant de manipuler la création d'objets au sein du code, ce qui pourrait entraîner l'exécution de code malveillant.
Maintenez Drupal Core et les modules contribués à jour, validez et désinfectez toutes les entrées utilisateur et surveillez la sécurité de votre site Web.
Actuellement, il n'existe pas d'exploits actifs connus qui tirent parti de cette vulnérabilité au sein de Drupal Core.
Mettez à jour vers la version 10.2.11 dès que possible. Si ce n'est pas possible, mettez en œuvre des mesures de sécurité supplémentaires, telles que la validation stricte des entrées utilisateur.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.
Scènes de la Vidéo
L'atténuation principale de la CVE-2024-55637 se concentre sur la mise à niveau vers la version 10.2.11 de Drupal Core. Cette mise à jour introduit des améliorations dans la gestion des types de propriétés, ce qui rend plus difficile l'exploitation de la vulnérabilité d'injection d'objets. De plus, il est essentiel de surveiller en permanence la sécurité de votre site Web Drupal, de rechercher et de corriger toute autre vulnérabilité qui pourrait permettre l'injection de données non sécurisées dans la fonction `unserialize()`. La mise en œuvre de bonnes pratiques de codage sécurisé, telles que la validation et la désinfection de toutes les entrées utilisateur, contribue également à réduire le risque de sécurité global.