Plateforme
drupal
Composant
drupal
Corrigé dans
9.3.13
10.0.2
11.0.1
9.3.14
La vulnérabilité CVE-2025-14840 concerne une faille de Forceful Browsing dans Drupal HTTP Client Manager. Elle permet une navigation forcée, potentiellement non autorisée. Les versions affectées sont de 10.0.0 à 10.0.2. Aucune version corrigée n'est actuellement disponible.
La vulnérabilité CVE-2025-14840 dans le Gestionnaire de Clients HTTP de Drupal permet une attaque de 'Navigation Forcée'. Cela est dû à une vérification inadéquate des conditions inhabituelles ou exceptionnelles dans les requêtes HTTP. Un attaquant pourrait exploiter cette faille pour naviguer vers des ressources internes qui ne sont normalement pas accessibles de l'extérieur, exposant potentiellement des informations sensibles ou effectuant des actions non autorisées. La sévérité du CVSS est de 7,5, ce qui indique un risque élevé. Cette vulnérabilité affecte des versions spécifiques du module Gestionnaire de Clients HTTP : de 0.0.0 avant la version 9.3.13, de 10.0.0 avant la version 10.0.2 et de 11.0.0 avant la version 11.0.1. La mise à jour vers des versions corrigées est essentielle pour atténuer ce risque.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP soigneusement conçues au Gestionnaire de Clients HTTP de Drupal. L'absence d'une validation adéquate des conditions inhabituelles permet à l'attaquant de manipuler le comportement du client HTTP et de le forcer à accéder à des ressources qui ne devraient pas être exposées. Cela pourrait impliquer l'utilisation de techniques telles que la manipulation des en-têtes HTTP ou l'injection d'URL malveillantes. Le succès de l'exploitation dépend de la configuration du site Drupal et de la présence de ressources internes vulnérables. L'absence d'une correction immédiate signifie que les sites qui ne sont pas mis à jour sont susceptibles de subir ce type d'attaque.
Organizations and individuals using Drupal Core versions 10.0.0–10.0.2 and 11.0.0 are at risk. This includes websites, applications, and services built on Drupal that rely on the HTTP Client Manager for external communication. Shared hosting environments utilizing these vulnerable Drupal versions are particularly susceptible.
• drupal: Check Drupal core version using drush --version. If the version is within the affected range (10.0.0–10.0.2 or 11.0.0), investigate further.
• drupal: Examine Drupal logs (sites/[site]/logs/drupal.log) for unusual HTTP requests or redirects.
• generic web: Use curl to test for potential URL redirection vulnerabilities. For example: curl -v https://[yourdrupalsite]/path/to/vulnerable/endpoint and examine the response headers.
• generic web: Review access logs for suspicious patterns of requests to internal or unexpected URLs.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
Vecteur CVSS
La solution pour CVE-2025-14840 est de mettre à jour le module Gestionnaire de Clients HTTP vers une version corrigée. Plus précisément, mettez à jour vers la version 9.3.13 ou supérieure, 10.0.2 ou supérieure ou 11.0.1 ou supérieure, en fonction de la version de Drupal que vous utilisez. Drupal a publié ces mises à jour pour résoudre la vulnérabilité. Il est recommandé d'effectuer la mise à jour dans un environnement de test avant de l'appliquer à la production. De plus, examinez les configurations de sécurité de votre site Drupal pour vous assurer que les meilleures pratiques sont suivies, telles que la limitation de l'accès aux ressources sensibles et l'utilisation de mots de passe forts. Bien qu'il n'y ait pas de solution de contournement immédiate, la mise à jour est le moyen le plus efficace de protéger votre site.
Mettez à jour le module HTTP Client Manager vers la version 9.3.13 ou supérieure, 10.0.2 ou supérieure, ou 11.0.1 ou supérieure. Cela corrigera la vulnérabilité de vérification incorrecte des conditions inhabituelles ou exceptionnelles qui permet la navigation forcée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une attaque où un attaquant manipule les requêtes HTTP pour accéder à des ressources qui ne sont normalement pas disponibles.
Cela pourrait permettre à un attaquant d'accéder à des informations sensibles ou d'effectuer des actions non autorisées.
Bien que ce ne soit pas une solution, examinez vos configurations de sécurité et limitez l'accès aux ressources sensibles.
Sur le site Web de Drupal et dans le référentiel de modules Drupal.
Oui, les scanners de vulnérabilités peuvent identifier cette vulnérabilité sur votre site Drupal.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.