Plateforme
drupal
Composant
drupal
Corrigé dans
1.0.3
1.0.4
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le module Login Time Restriction de Drupal Core. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, compromettant potentiellement la sécurité du site. Elle affecte les versions du module antérieures à 1.0.3. Une correction est disponible.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier les paramètres de restriction de temps de connexion, d'ajouter ou de supprimer des utilisateurs, ou d'effectuer d'autres actions administratives, en fonction des privilèges de l'utilisateur ciblé. Un attaquant pourrait, par exemple, modifier les heures de connexion autorisées pour un utilisateur, lui permettant d'accéder au système à des moments inattendus. Le risque est accru si des comptes avec des privilèges élevés sont ciblés, ce qui pourrait conduire à une compromission complète du site Drupal.
Cette vulnérabilité a été publiée le 28 janvier 2026. Aucune preuve d'exploitation active n'est actuellement disponible. La probabilité d'exploitation est considérée comme moyenne en raison de la nature courante des attaques CSRF et de la disponibilité d'outils d'exploitation. Il est conseillé de surveiller les forums de sécurité et les rapports de vulnérabilités pour d'éventuelles mises à jour.
Drupal sites utilizing the Login Time Restriction module, particularly those with sensitive data or critical functionality, are at risk. Sites running older, unpatched versions of Drupal are especially vulnerable. Shared hosting environments where users have limited control over installed modules also face increased risk.
• drupal: Check the version of the Login Time Restriction module using drush pm-info logintimerestriction. If the version is less than 1.0.3, the system is vulnerable.
• generic web: Monitor Drupal site logs for suspicious POST requests originating from different IP addresses than the authenticated user's. Use a WAF to block requests without valid CSRF tokens.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le module Login Time Restriction vers la version 1.0.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez d'implémenter des mesures de protection CSRF supplémentaires, telles que l'utilisation de jetons CSRF pour toutes les requêtes sensibles. Des règles WAF (Web Application Firewall) peuvent également être configurées pour bloquer les requêtes CSRF suspectes. Vérifiez après la mise à jour que les paramètres de restriction de temps de connexion sont correctement appliqués et que les jetons CSRF sont correctement générés et validés.
Mettez à jour le module Login Time Restriction à la version 1.0.3 ou supérieure. Cette version corrige la vulnérabilité CSRF. Vous pouvez mettre à jour via l'interface d'administration de Drupal ou en téléchargeant la nouvelle version depuis Drupal.org et en remplaçant les fichiers du module.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13982 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Drupal Login Time Restriction module, allowing attackers to perform unauthorized actions.
You are affected if you are using Drupal Login Time Restriction version 1.0.3 or earlier. Upgrade to 1.0.3 to mitigate the risk.
Upgrade the Drupal Login Time Restriction module to version 1.0.3 or later. Implement CSRF token protection as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Drupal security advisory page for the latest information and updates regarding CVE-2025-13982.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.