Plateforme
drupal
Composant
drupal
Corrigé dans
10.4.9
10.5.6
11.1.9
11.2.8
7.103.1
10.4.9
La vulnérabilité CVE-2025-13083 concerne l'utilisation d'un cache de navigateur contenant des informations sensibles dans Drupal Core. Cela peut mener à un accès non autorisé à des données sensibles. Les versions de Drupal concernées vont de 7.0 à 9.5.9. La version 10.4.9 corrige cette vulnérabilité.
La vulnérabilité CVE-2025-13083 dans Drupal core affecte la manière dont les niveaux de sécurité d'accès sont gérés et l'utilisation du cache du navigateur web. Un attaquant pourrait exploiter des contrôles d'accès mal configurés pour accéder à des informations sensibles stockées dans le cache du navigateur. Cela est particulièrement préoccupant si le cache contient des données confidentielles, car elles pourraient être exposées à des utilisateurs non autorisés. La vulnérabilité affecte Drupal core dans les versions de 8.0.0 antérieures à 10.4.9, de 10.5.0 antérieures à 10.5.6, de 11.0.0 antérieures à 11.1.9, de 11.2.0 antérieures à 11.2.8 et de 7.0 antérieures à 7.103. La gravité de la vulnérabilité réside dans le potentiel de fuite de données sensibles et la facilité relative avec laquelle elle pourrait être exploitée si les configurations d'accès ne sont pas correctement mises en œuvre.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant soit capable de manipuler les requêtes HTTP pour accéder aux ressources protégées. Cela pourrait être réalisé en injectant du code malveillant dans les URL ou en manipulant les cookies de session. L'attaquant doit également être capable d'influencer le comportement du cache du navigateur pour stocker des informations sensibles. Le succès de l'exploitation dépend de la configuration spécifique de Drupal et de la présence d'informations sensibles dans le cache du navigateur. La complexité de l'exploitation varie en fonction de la configuration du site Drupal et des mesures de sécurité mises en œuvre.
Organizations and individuals using Drupal Core for websites or applications that handle sensitive data, particularly those running versions prior to 10.4.9. Sites with complex access control configurations or those relying heavily on browser caching are at higher risk.
• drupal: Check Drupal core version using drush --version.
• drupal: Review access control configurations for any inconsistencies or overly permissive settings.
• generic web: Monitor web server access logs for unusual requests targeting cached resources.
• generic web: Use browser developer tools to inspect cached resources and verify that sensitive data is not exposed.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
Vecteur CVSS
La solution pour atténuer CVE-2025-13083 est de mettre à jour Drupal vers une version corrigée. Plus précisément, il est recommandé de mettre à jour vers la version 10.4.9 ou supérieure, 10.5.6 ou supérieure, 11.1.9 ou supérieure, 11.2.8 ou supérieure ou 7.103 ou supérieure. En plus de la mise à jour, il est recommandé de revoir et de renforcer les configurations d'accès aux ressources sensibles dans Drupal. Cela inclut de s'assurer que les contrôles d'accès sont correctement définis et que seuls les utilisateurs autorisés ont accès aux informations confidentielles. Il est essentiel de mettre en œuvre des politiques de cache appropriées pour éviter que des informations sensibles ne soient stockées dans le cache du navigateur pendant de longues périodes. Enfin, des audits de sécurité périodiques peuvent aider à identifier et à corriger les configurations incorrectes potentielles.
Mettez à jour Drupal core vers la dernière version disponible. Pour les versions 7.x, mettez à jour vers la version 7.103 ou supérieure. Pour les versions 8.x à 10.4.x, mettez à jour vers la version 10.4.9 ou supérieure. Pour les versions 10.5.x, mettez à jour vers la version 10.5.6 ou supérieure. Pour les versions 11.0.x, mettez à jour vers la version 11.1.9 ou supérieure. Pour les versions 11.2.x, mettez à jour vers la version 11.2.8 ou supérieure.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions affectées sont Drupal 8.0.0 antérieures à 10.4.9, 10.5.0 antérieures à 10.5.6, 11.0.0 antérieures à 11.1.9, 11.2.0 antérieures à 11.2.8 et 7.0 antérieures à 7.103.
Vous pouvez vérifier la version de Drupal sur la page d'état du site ou via l'interface d'administration.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures d'atténuation telles que le renforcement des contrôles d'accès et la révision de la configuration du cache.
Il existe des modules de sécurité pour Drupal qui peuvent aider à identifier les configurations incorrectes et les vulnérabilités.
Vous pouvez trouver plus d'informations sur le site web de Drupal et dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.