Plateforme
drupal
Composant
drupal
Corrigé dans
10.3.14
10.4.5
11.0.13
11.1.5
7.0.1
10.3.14
La vulnérabilité CVE-2025-31675, affectant Drupal Core, est une faille de type Cross-Site Scripting (XSS). Elle est notée avec un CVSS de 5.4. Cette vulnérabilité affecte les versions antérieures ou égales à 9.5.9. L'impact est l'injection de scripts malveillants. La version 10.3.14 de Drupal Core corrige cette vulnérabilité.
La vulnérabilité CVE-2025-31675 dans Drupal Core représente un risque de Cross-Site Scripting (XSS). Cela signifie qu'un attaquant pourrait injecter du code malveillant dans les pages web d'un site Drupal, qui s'exécuterait alors dans les navigateurs des utilisateurs visitant ces pages. L'impact potentiel inclut le vol d'informations sensibles (comme les cookies de session), le renvoi des utilisateurs vers des sites web malveillants, ou la modification du contenu de la page. La vulnérabilité affecte plusieurs versions de Drupal Core : de 8.0.0 avant 10.3.14, de 10.4.0 avant 10.4.5, de 11.0.0 avant 11.0.13, et de 11.1.0 avant 11.1.5. Il est crucial de mettre à jour Drupal Core vers une version corrigée pour atténuer ce risque. La cause première de ce problème est une neutralisation inadéquate des entrées lors de la génération de la page web, permettant l'injection de code malveillant.
La vulnérabilité est exploitée par l'injection de code malveillant dans des champs d'entrée qui ne sont pas correctement désinfectés avant d'être affichés sur la page web. Un attaquant pourrait exploiter cette vulnérabilité pour insérer des scripts malveillants dans des formulaires, des commentaires ou tout autre champ où les utilisateurs peuvent saisir des données. Ces scripts s'exécuteraient dans le navigateur de l'utilisateur, permettant à l'attaquant d'effectuer des actions malveillantes. La complexité de l'exploitation dépend de l'emplacement spécifique de la vulnérabilité et de la configuration du site Drupal. L'absence de validation et d'échappement des entrées utilisateur est le facteur clé qui permet l'exploitation de cette vulnérabilité XSS.
Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.
• drupal: Check Drupal core version using drush --version.
• drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts.
• generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters.
• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
disclosure
Statut de l'Exploit
EPSS
0.27% (percentile 50%)
Vecteur CVSS
La solution principale pour atténuer la vulnérabilité CVE-2025-31675 est de mettre à jour Drupal Core vers la version 10.3.14 ou supérieure, 10.4.5 ou supérieure, 11.0.13 ou supérieure, ou 11.1.5 ou supérieure. Ces versions incluent les correctifs nécessaires pour prévenir l'injection de code XSS. De plus, examinez et mettez à jour tous les modules personnalisés ou tiers qui pourraient interagir avec les entrées utilisateur. La mise en œuvre d'une Politique de Sécurité du Contenu (CSP) peut fournir une couche de protection supplémentaire en restreignant les sources de contenu que le navigateur peut charger. La surveillance des journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. L'application de ces mesures de sécurité aidera à protéger votre site Drupal contre l'exploitation de cette vulnérabilité.
Mettez à jour Drupal core vers la dernière version disponible. Si vous utilisez une version antérieure à la 10.3, mettez à jour vers la version 10.3.14 ou supérieure. Si vous utilisez la version 10.4, mettez à jour vers la version 10.4.5 ou supérieure. Si vous utilisez la version 11.0, mettez à jour vers la version 11.0.13 ou supérieure. Si vous utilisez la version 11.1, mettez à jour vers la version 11.1.5 ou supérieure.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions affectées sont Drupal Core 8.0.0 avant 10.3.14, 10.4.0 avant 10.4.5, 11.0.0 avant 11.0.13, et 11.1.0 avant 11.1.5.
Vous pouvez vérifier la version de Drupal Core sur la page d'administration du site, dans la section 'Informations sur le site'.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web.
CSP est un mécanisme de sécurité qui permet aux administrateurs de site web de contrôler les sources de contenu que le navigateur peut charger, réduisant ainsi le risque d'attaques XSS.
Vous pouvez trouver plus d'informations sur la vulnérabilité CVE-2025-31675 sur la page de sécurité de Drupal : [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.