Plateforme
drupal
Composant
drupal
Corrigé dans
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
La vulnérabilité CVE-2025-3057 concerne une faille de Cross-Site Scripting (XSS) dans Drupal Core, permettant l'injection de scripts malveillants. Les versions de Drupal concernées vont de 8.0.0 à 9.5.9. La version 10.3.13 de Drupal corrige cette vulnérabilité, il est donc conseillé de mettre à jour.
La vulnérabilité CVE-2025-3057 dans Drupal Core représente un risque de Cross-Site Scripting (XSS). Cela signifie qu'un attaquant pourrait injecter du code malveillant dans les pages web de Drupal, qui s'exécuterait alors dans les navigateurs des utilisateurs visitant ces pages. L'impact peut varier du vol de cookies de session et de la redirection vers des sites web malveillants, à la modification du contenu de la page web. Cette vulnérabilité affecte plusieurs versions de Drupal Core, notamment les versions 8.0.0 avant 10.3.13, 10.4.0 avant 10.4.3, 11.0.0 avant 11.0.12 et 11.1.0 avant 11.1.3. La vulnérabilité est notée 6.1 sur l'échelle CVSS, ce qui indique un risque modéré. La mise à jour de Drupal vers la version corrigée est cruciale pour atténuer ce risque.
La vulnérabilité découle d'une neutralisation incorrecte des entrées lors de la génération de pages web. Un attaquant pourrait exploiter cela en injectant du code JavaScript malveillant via des champs d'entrée qui ne sont pas correctement désinfectés. Ce code s'exécuterait dans le navigateur de l'utilisateur, permettant à l'attaquant d'effectuer diverses actions malveillantes. Le contexte d'exploitation dépend de la configuration spécifique du site Drupal et des champs d'entrée vulnérables. L'absence de validation et d'échappement appropriés des entrées utilisateur est la cause première de cette vulnérabilité. Les administrateurs de sites Drupal doivent être conscients de cette vulnérabilité et prendre des mesures pour protéger leurs sites web.
Statut de l'Exploit
EPSS
0.35% (percentile 57%)
Vecteur CVSS
La solution pour CVE-2025-3057 consiste à mettre à jour Drupal Core vers une version qui inclut la correction. Plus précisément, mettez à jour vers la version 10.3.13 ou supérieure, 10.4.3 ou supérieure, 11.0.12 ou supérieure, ou 11.1.3 ou supérieure. En plus de la mise à jour, examinez le code personnalisé pour identifier et corriger toute vulnérabilité XSS potentielle. La mise en œuvre de politiques de sécurité de contenu (CSP) peut aider à atténuer l'impact des attaques XSS, même si l'application n'est pas entièrement corrigée. La surveillance des journaux du serveur à la recherche d'activités suspectes est également une bonne pratique de sécurité. La mise à jour doit être effectuée dès que possible pour minimiser la fenêtre d'opportunité pour les attaquants.
Mettez à jour Drupal core vers la dernière version disponible. Si vous utilisez une version antérieure à la 10.3, mettez à jour vers la version 10.3.13 ou supérieure. Si vous utilisez la version 10.4, mettez à jour vers la version 10.4.3 ou supérieure. Si vous utilisez la version 11.0, mettez à jour vers la version 11.0.12 ou supérieure. Si vous utilisez la version 11.1, mettez à jour vers la version 11.1.3 ou supérieure.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions affectées sont Drupal Core 8.0.0 avant 10.3.13, 10.4.0 avant 10.4.3, 11.0.0 avant 11.0.12 et 11.1.0 avant 11.1.3.
Vous pouvez vérifier la version de Drupal sur la page d'administration du site, dans la section 'Informations sur le site'.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
CSP (Content Security Policy) est un mécanisme de sécurité qui permet aux administrateurs de sites web de contrôler les ressources que le navigateur est autorisé à charger pour une page web.
Vous pouvez trouver plus d'informations sur le site web de Drupal et dans les bases de données de vulnérabilités telles que CVE.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.