Plateforme
drupal
Composant
drupal
Corrigé dans
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
La vulnérabilité CVE-2025-13081 concerne une injection d'objet dans Drupal Core, permettant potentiellement l'exécution de code malveillant. Les versions de Drupal affectées sont de 8.0.0 à 9.5.9. La version 10.4.9 de Drupal corrige cette vulnérabilité, il est donc conseillé de mettre à jour.
La vulnérabilité CVE-2025-13081 dans Drupal core représente un risque d'injection d'objets dû à une modification incorrectement contrôlée des attributs d'objets déterminés dynamiquement. Cela signifie qu'un attaquant pourrait manipuler la façon dont Drupal gère les objets, potentiellement en exécutant du code malveillant ou en accédant à des informations sensibles. La vulnérabilité affecte les versions de Drupal core de 8.0.0 jusqu'à 10.4.8, 10.5.0 jusqu'à 10.5.5, 11.0.0 jusqu'à 11.1.8 et 11.2.0 jusqu'à 11.2.7. La sévérité, selon CVSS, est de 5.9, ce qui indique un risque modéré. Une exploitation réussie pourrait compromettre l'intégrité et la confidentialité du site web Drupal. Il est crucial d'appliquer la mise à jour de sécurité pour atténuer ce risque.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant ait la capacité d'influencer les attributs des objets que Drupal manipule. Cela pourrait être réalisé en manipulant les données d'entrée, telles que les formulaires ou les paramètres d'URL. L'attaquant pourrait alors injecter du code malveillant qui s'exécute dans le contexte de l'utilisateur Drupal avec les permissions correspondantes. L'impact potentiel varie en fonction des permissions de l'utilisateur affecté et de la configuration du site web. On ne sait pas si cette vulnérabilité a été exploitée activement dans la nature, mais il est recommandé de prendre des mesures préventives pour éviter d'éventuelles attaques.
Statut de l'Exploit
EPSS
0.20% (percentile 42%)
Vecteur CVSS
La solution pour CVE-2025-13081 est de mettre à jour Drupal core vers la version 10.4.9 ou supérieure, 10.5.6 ou supérieure, 11.1.9 ou supérieure, ou 11.2.8 ou supérieure, respectivement. Drupal a publié une mise à jour de sécurité qui traite directement de cette vulnérabilité. Il est recommandé d'appliquer cette mise à jour dès que possible, surtout si votre site web Drupal gère des informations sensibles ou reçoit un volume de trafic élevé. De plus, examinez les modules contribuable pour vous assurer qu'ils sont également à jour, car ils pourraient être affectés indirectement. Effectuez une sauvegarde de votre site web avant d'appliquer toute mise à jour afin de pouvoir le restaurer en cas de problème.
Mettez à jour Drupal core vers la dernière version disponible. Plus précisément, mettez à jour vers la version 10.4.9, 10.5.6, 11.1.9 ou 11.2.8, ou une version ultérieure. Cela corrigera la vulnérabilité d'injection d'objets.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection d'objets est une vulnérabilité qui permet à un attaquant de manipuler la façon dont une application gère les objets, en exécutant potentiellement du code malveillant.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès aux zones sensibles du site web et la surveillance des journaux du serveur à la recherche d'activités suspectes.
La vulnérabilité affecte les sites web utilisant les versions de Drupal core mentionnées. Si vous utilisez une version plus récente, vous êtes déjà protégé.
Vous pouvez trouver plus d'informations sur cette vulnérabilité sur le site web de Drupal et dans les bases de données de vulnérabilités telles que NIST NVD.
Vous pouvez vérifier la version de Drupal que vous utilisez en accédant à la page d'administration du site web et en recherchant les informations de version dans la section informations sur le site.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.