Plateforme
drupal
Composant
drupal
Corrigé dans
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
10.4.9
10.4.9
10.4.9
La vulnérabilité CVE-2025-13080, de type Forceful Browsing, affecte Drupal Core. Elle permet une navigation forcée, potentiellement non autorisée. Les versions de Drupal concernées vont de 8.0.0 à 9.5.9. La version 10.4.9 de Drupal corrige cette vulnérabilité, il est donc conseillé de mettre à jour.
La vulnérabilité CVE-2025-13080 dans Drupal core affecte les versions antérieures à 10.4.9, 10.5.6, 11.1.9 et 11.2.8, permettant une attaque de 'Forceful Browsing' (Navigation Forcée). Cela est dû à une vérification inadéquate des conditions inhabituelles ou exceptionnelles. Un attaquant pourrait potentiellement accéder à des pages ou des ressources qui ne devraient pas être visibles pour lui, compromettant des informations sensibles. Le risque est important, en particulier sur les sites Web traitant des données confidentielles ou nécessitant des contrôles d'accès stricts. La vulnérabilité est liée à la manière dont Drupal gère les requêtes de navigation, permettant à un attaquant de contourner les restrictions d'accès mises en œuvre. La gravité de l'impact dépend de la configuration spécifique du site Drupal et des données auxquelles on peut accéder sans autorisation. Il est fortement recommandé d'appliquer les mises à jour de sécurité fournies par Drupal pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en manipulant les URL du site Web Drupal pour accéder à des pages ou des ressources protégées. Cela pourrait impliquer d'ajouter des paramètres ou des routes inattendus à l'URL. Le succès de l'exploitation dépend de la configuration du site Drupal et de la présence de ressources sensibles accessibles via ces routes manipulées. La vulnérabilité est basée sur un manque de validation appropriée des entrées utilisateur, ce qui permet à un attaquant de contourner les restrictions d'accès. Il est important de noter que l'exploitation de cette vulnérabilité peut nécessiter un certain niveau de connaissances techniques sur Drupal et son fonctionnement interne.
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
La solution pour CVE-2025-13080 consiste à mettre à jour Drupal core vers la version 10.4.9 ou supérieure, 10.5.6 ou supérieure, 11.1.9 ou supérieure, ou 11.2.8 ou supérieure, respectivement. Ces mises à jour corrigent la vérification défectueuse qui permet le 'Forceful Browsing'. Il est essentiel de faire une sauvegarde complète du site Web avant d'appliquer toute mise à jour. Après la mise à jour, testez minutieusement toutes les fonctionnalités du site Web pour vous assurer qu'elles fonctionnent correctement. De plus, examinez les configurations de permissions et d'accès pour vous assurer que les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin. Surveillez les journaux du serveur pour détecter toute activité suspecte après la mise à jour. L'application opportune de ces mesures d'atténuation est essentielle pour protéger votre site Drupal contre d'éventuelles attaques.
Mettez à jour Drupal core vers la dernière version disponible. Pour les versions 10.x, mettez à jour vers la version 10.4.9 ou supérieure. Pour les versions 10.5.x, mettez à jour vers la version 10.5.6 ou supérieure. Pour les versions 11.0.x, mettez à jour vers la version 11.1.9 ou supérieure. Pour les versions 11.2.x, mettez à jour vers la version 11.2.8 ou supérieure.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une attaque où un attaquant tente d'accéder à des pages ou des ressources non autorisées en manipulant les URL.
Drupal core versions antérieures à 8.0.0 (jusqu'à 10.4.9), 10.5.0 (jusqu'à 10.5.6), 11.0.0 (jusqu'à 11.1.9) et 11.2.0 (jusqu'à 11.2.8).
Vérifiez la version de Drupal que vous utilisez et comparez-la avec les versions vulnérables listées. Effectuez des tests de navigation avec différentes URL pour identifier les accès non autorisés potentiels.
Mettez en œuvre des mesures de sécurité supplémentaires, telles que le renforcement des configurations de permissions et la surveillance des journaux du serveur.
Consultez la page de sécurité de Drupal : https://www.drupal.org/security
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.