Plateforme
drupal
Composant
drupal
Corrigé dans
9.7.0
9.7.1
La vulnérabilité CVE-2026-3213 est de type Cross-Site Scripting (XSS) et affecte le module Drupal Anti-Spam by CleanTalk. Elle permet à un attaquant d'injecter et d'exécuter du code JavaScript malveillant dans le navigateur d'un utilisateur. Les versions affectées sont celles inférieures ou égales à 9.7.0. La version 9.7.0 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-3213 affecte le module Anti-Spam by CleanTalk pour Drupal, permettant une attaque de Cross-Site Scripting (XSS). Cela signifie qu'un attaquant pourrait injecter du code malveillant dans les pages web d'un site Drupal, qui s'exécuterait alors dans les navigateurs des utilisateurs. Ce code pourrait voler des informations sensibles, telles que des identifiants de connexion, ou rediriger les utilisateurs vers des sites web malveillants. La gravité de cette vulnérabilité est CVSS 4.7, ce qui indique un risque modéré. La cause première est une neutralisation inadéquate des entrées lors de la génération de la page web. Les sites utilisant des versions antérieures à 9.7.0 du module Anti-Spam by CleanTalk sont vulnérables à cette attaque. Il est crucial de mettre à jour le module pour atténuer ce risque et protéger l'intégrité et la sécurité des données des utilisateurs.
La vulnérabilité XSS dans Anti-Spam by CleanTalk peut être exploitée en manipulant les données d'entrée que le module utilise pour générer du contenu web. Un attaquant pourrait injecter du code JavaScript malveillant dans des champs de formulaire ou d'autres points d'entrée de données. Ce code s'exécuterait dans les navigateurs des utilisateurs visitant la page web affectée. L'exploitation réussie de cette vulnérabilité pourrait permettre à l'attaquant de voler des informations sensibles, de modifier le contenu de la page web ou de rediriger les utilisateurs vers des sites web malveillants. La complexité de l'exploitation dépendra de la configuration du site Drupal et des mesures de sécurité mises en œuvre. Cependant, le manque d'une validation adéquate des entrées rend cette vulnérabilité relativement facile à exploiter.
Websites utilizing the Drupal Anti-Spam by CleanTalk module and running versions prior to 9.7.0 are at risk. This includes sites with user-generated content, forums, or any functionality that accepts user input, as these are prime targets for XSS attacks. Shared hosting environments using Drupal are particularly vulnerable, as they may not have immediate control over module updates.
• drupal: Use Drupal’s security audit module to scan for outdated modules. Check the Drupal error logs for any unusual JavaScript execution patterns. • generic web: Monitor web server access logs for suspicious requests containing JavaScript code. Use a WAF to detect and block XSS payloads. • wordpress / composer / npm: N/A - This vulnerability is specific to the Drupal Anti-Spam by CleanTalk module. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact database systems.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour le module Anti-Spam by CleanTalk à la version 9.7.0 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour neutraliser les entrées et empêcher l'exécution de code malveillant. Il est recommandé d'effectuer la mise à jour dès que possible afin de minimiser le risque d'exploitation. De plus, examinez les journaux du serveur à la recherche d'activités suspectes qui pourraient indiquer une tentative d'attaque. La mise en œuvre d'une politique de sécurité web robuste, comprenant la validation et la désinfection de toutes les entrées utilisateur, est une pratique recommandée pour prévenir de futures vulnérabilités XSS. Des audits de sécurité périodiques peuvent également aider à identifier et à corriger les problèmes de sécurité potentiels.
Actualice el módulo Anti-Spam by CleanTalk a la versión 9.7.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter du code malveillant dans des sites web.
Les utilisateurs pourraient être redirigés vers des sites web malveillants, voir leurs informations volées ou voir le contenu du site web modifié.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles qu'un pare-feu d'applications web (WAF).
Il existe des scanners de vulnérabilités qui peuvent aider à détecter cette vulnérabilité sur votre site Drupal.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-3213
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.