Plateforme
drupal
Composant
drupal
Corrigé dans
1.7.0
2.0.2
8.0.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le module Drupal Automated Logout. Cette faille permet à un attaquant de réaliser des actions non autorisées au nom d'un utilisateur authentifié, sans son consentement. Elle affecte les versions de Drupal Automated Logout comprises entre 0.0.0 et 1.7.0, ainsi que la version 2.0.0 avant 2.0.2. La mise à jour vers la version 2.0.2 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF peut permettre à un attaquant de modifier les paramètres de configuration du module Automated Logout, de supprimer des utilisateurs, ou d'effectuer d'autres actions sensibles au nom de l'utilisateur concerné. L'impact est d'autant plus important si l'utilisateur possède des privilèges d'administration. Un attaquant pourrait, par exemple, modifier la durée de la déconnexion automatique, compromettant ainsi la sécurité des sessions. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité CSRF la rend potentiellement exploitable dans des attaques ciblées.
Cette vulnérabilité a été publiée le 26 mars 2026. Elle n'est pas répertoriée sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Il n'existe pas de preuve d'exploitation active connue, mais la nature de la vulnérabilité CSRF implique qu'elle pourrait être exploitée dans des attaques ciblées. La publication de la vulnérabilité est accessible sur le site du NVD (National Vulnerability Database).
Websites using Drupal with the Automated Logout module installed, particularly those running vulnerable versions (2.0.0–8.x-1.7). Sites with less stringent access controls to the Automated Logout configuration are at higher risk.
• drupal / module: Check Drupal module versions for Automated Logout.
drush pm-info --title --core --modules --themes --profiles | grep Automated Logout• drupal / configuration: Review Automated Logout configuration settings for unexpected changes. • generic web: Monitor access logs for suspicious requests targeting Automated Logout endpoints.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Drupal Automated Logout vers la version 2.0.2 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le module Automated Logout. En attendant la mise à jour, il est possible de mettre en place des protections CSRF au niveau de l'application, telles que l'utilisation de tokens CSRF pour valider les requêtes. Vérifiez après la mise à jour que le module est correctement mis à jour et qu'il n'y a pas de conflits avec d'autres modules.
Mettez à jour le module Automated Logout à la version 1.7.0 ou supérieure, ou à la version 2.0.2 ou supérieure, selon la branche de version utilisée. Cela corrigera la vulnérabilité Cross-Site Request Forgery (CSRF).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4393 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le module Drupal Automated Logout, permettant à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur.
Oui, si vous utilisez Drupal Automated Logout dans les versions 2.0.0–8.x-1.7 ou 2.0.0 avant 2.0.2, vous êtes potentiellement affecté(e).
Mettez à jour Drupal Automated Logout vers la version 2.0.2 ou supérieure. Si la mise à jour n'est pas possible, désactivez temporairement le module.
À ce jour, il n'y a pas de preuve d'exploitation active connue, mais la vulnérabilité CSRF la rend potentiellement exploitable.
Consultez le site du NVD (National Vulnerability Database) pour plus d'informations et les éventuels avis de Drupal.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.