Plateforme
drupal
Composant
drupal
Corrigé dans
7.0.1
La vulnérabilité CVE-2026-0748 affecte le module Internationalization (i18n) de Drupal 7, plus précisément le sous-module i18n_node. Elle permet à un utilisateur disposant des permissions "Translate content" et "Administer content translations" de visualiser et d'attacher des nœuds non publiés via l'interface de traduction, contournant ainsi les contrôles d'accès prévus. Cette vulnérabilité affecte les versions de Drupal 7 comprises entre 7.x-1.0 et 7.x-1.35 et le statut de la correction est en cours d'évaluation.
La vulnérabilité CVE-2026-0748 dans le module d'Internationalisation (i18n) de Drupal 7 permet à des utilisateurs disposant des permissions "Traduire le contenu" et "Administrer les traductions de contenu" de visualiser et d'attacher des nœuds non publiés via l'interface de traduction et son widget d'autocomplétion. Cela contourne les contrôles d'accès prévus, divulguant les titres et les ID des nœuds non publiés. Cette vulnérabilité représente un risque important pour les sites Drupal 7, en particulier ceux qui traitent des informations sensibles ou confidentielles avant leur publication. La possibilité d'accéder à du contenu non publié peut entraîner des violations de données et compromettre l'intégrité du site. La nature relativement courante des permissions requises augmente la probabilité d'exploitation. L'exposition des ID de nœuds peut faciliter des attaques supplémentaires sur d'autres composants du site. L'absence d'une correction directe (fix: none) exige des efforts de mitigation immédiats pour protéger les sites vulnérables.
La vulnérabilité est exploitée via l'interface de traduction du module i18n. Un attaquant disposant des permissions nécessaires peut utiliser le widget d'autocomplétion pour rechercher et visualiser des nœuds non publiés qui seraient normalement inaccessibles. La fonctionnalité d'autocomplétion expose les titres et les ID de ces nœuds, permettant à l'attaquant d'identifier du contenu confidentiel. L'exploitation ne nécessite pas de compétences techniques avancées, ce qui la rend accessible à un large éventail d'attaquants. Le risque est accru sur les sites qui utilisent le module i18n pour traduire du contenu sensible ou confidentiel. L'absence d'une correction officielle signifie que les sites Drupal 7 restent vulnérables jusqu'à ce que des mesures d'atténuation efficaces soient mises en œuvre. La combinaison des permissions "Traduire le contenu" et "Administrer les traductions de contenu" est essentielle pour exploiter cette vulnérabilité.
Websites running Drupal 7 with the Internationalization (i18n) module installed are at risk. Specifically, sites where users have been granted both "Translate content" and "Administer content translations" permissions are particularly vulnerable, even if those users are not typically involved in content creation.
• wordpress / composer / npm:
grep -r "i18n_node_autocomplete" /var/www/drupal7/• generic web:
curl -I http://your-drupal-site.com/admin/config/regional/i18n-node• generic web: Check Drupal logs for unusual activity related to node translations or access attempts by users with 'Translate content' and 'Administer content translations' permissions.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
Étant donné l'absence de correction officielle (fix: none), l'atténuation de CVE-2026-0748 nécessite une approche prudente. La recommandation principale est de restreindre strictement les permissions "Traduire le contenu" et "Administrer les traductions de contenu" au minimum absolu requis. Effectuez un audit complet des permissions pour identifier et corriger les configurations incorrectes. Envisagez de désactiver le module i18n s'il n'est pas essentiel au fonctionnement du site. Surveillez activement les journaux du site à la recherche d'activités suspectes liées à l'interface de traduction. L'application du principe du moindre privilège est la meilleure défense disponible jusqu'à ce qu'une solution alternative soit trouvée. La mise à niveau vers une version plus récente de Drupal (au-delà de 7.x) est la solution à long terme la plus sûre, mais nécessite une planification et une exécution minutieuses.
Actualice el módulo Internationalization (i18n) a una versión posterior a 7.x-1.35. Esto corregirá la vulnerabilidad de omisión de acceso en la interfaz de usuario de traducción i18n_node.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'il n'y a actuellement aucun correctif ou mise à jour officielle disponible pour corriger cette vulnérabilité.
Drupal 7 a atteint la fin de son cycle de vie. Bien que cette vulnérabilité puisse être atténuée, la mise à niveau vers une version plus récente de Drupal est la meilleure option.
Les permissions "Traduire le contenu" et "Administrer les traductions de contenu" sont nécessaires.
Si vous utilisez le module i18n dans Drupal 7 et que vous avez des utilisateurs disposant des permissions mentionnées, votre site est probablement vulnérable.
Restreignez les permissions "Traduire le contenu" et "Administrer les traductions de contenu" au minimum nécessaire et surveillez les journaux du site.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.