Plateforme
drupal
Composant
drupal
Corrigé dans
1.7.0
8.0.1
La vulnérabilité CVE-2026-4933 est une vulnérabilité d'accès forcé (Forceful Browsing) dans le module Unpublished Node Permissions de Drupal. Elle permet à un attaquant d'accéder à des nœuds non publiés. Cette vulnérabilité affecte les versions de Drupal inférieures ou égales à 8.x-1.7 et a été corrigée dans la version 1.7.0.
La vulnérabilité CVE-2026-4933 dans Drupal, spécifiquement dans le module 'Unpublished Node Permissions', introduit une 'Autorisation Incorrecte' menant à une 'Navigation Forcée'. Cela signifie qu'un attaquant, sans autorisation appropriée, peut accéder aux nœuds non publiés (pages, articles, etc.). Ces nœuds sont destinés à être consultés uniquement par des utilisateurs spécifiques, tels que des éditeurs ou des administrateurs, pendant le processus de création ou de révision. La défaillance d'autorisation contourne ces restrictions, exposant potentiellement des informations confidentielles ou en cours de développement à des utilisateurs non autorisés. Le score CVSS de 7.5 indique un risque élevé, nécessitant une attention immédiate. La vulnérabilité affecte les versions du module antérieures à 1.7.0. L'impact peut varier en fonction du contenu des nœuds non publiés et de la sensibilité des informations qu'ils contiennent. La mise à jour du module est cruciale pour atténuer ce risque.
L'exploitation de cette vulnérabilité nécessite des connaissances techniques et un accès au site Drupal. Un attaquant peut utiliser des techniques de manipulation d'URL ou de requêtes HTTP pour tenter d'accéder aux nœuds non publiés. La complexité de l'exploitation dépend de la configuration du site Drupal et des mesures de sécurité mises en œuvre. L'attaquant doit identifier la structure d'URL des nœuds non publiés, puis tenter d'y accéder directement, en exploitant la faille d'autorisation. L'absence d'authentification appropriée pour accéder à ces nœuds est le principal facteur permettant l'exploitation. Cette vulnérabilité est particulièrement préoccupante dans les environnements de développement ou de test, où les nœuds non publiés peuvent contenir des informations confidentielles ou incomplètes.
Websites using Drupal 8.x with the Unpublished Node Permissions module installed and configured with overly permissive access controls are at significant risk. Sites with a large volume of unpublished content, or those handling sensitive information in drafts, are particularly vulnerable. Shared hosting environments where users have limited control over module versions are also at increased risk.
• drupal:
find /var/www/html/modules -name 'unpublish_node_permissions' -print• drupal:
curl -I http://your-drupal-site.com/node/unpublished-node | grep 'HTTP/1.1 403' # Check for 403 Forbidden on unpublished nodes with proper access controldisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
Vecteur CVSS
La principale mitigation pour CVE-2026-4933 est de mettre à jour le module 'Unpublished Node Permissions' à la version 1.7.0 ou supérieure. Cette mise à jour corrige la faille d'autorisation permettant la 'Navigation Forcée'. Avant de mettre à jour, une sauvegarde complète du site Drupal, y compris la base de données et les fichiers du site, est fortement recommandée. Après la mise à jour, des tests approfondis sont essentiels pour garantir que la fonctionnalité du site reste intacte et que la vulnérabilité est efficacement résolue. De plus, examinez et renforcez les politiques de permissions utilisateur dans Drupal, en vous assurant que seuls les utilisateurs autorisés ont accès aux nœuds non publiés. Surveillez régulièrement les journaux du serveur à la recherche d'activités suspectes est également une bonne pratique de sécurité.
Actualice el módulo Unpublished Node Permissions a la versión 1.7.0 o superior. Esta versión corrige la vulnerabilidad de autorización incorrecta que permite la navegación forzada de contenido no publicado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Ce sont des éléments de contenu (pages, articles, etc.) créés dans Drupal, mais qui ne sont pas visibles publiquement. Ils sont utilisés pour la révision et l'édition avant la publication.
Vérifiez la version du module 'Unpublished Node Permissions'. Si elle est antérieure à 1.7.0, votre site est vulnérable.
En tant que mesure temporaire, envisagez de restreindre l'accès aux nœuds non publiés à un groupe limité d'utilisateurs autorisés.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais des audits de sécurité manuels sont recommandés.
Il indique un risque élevé, ce qui signifie que la vulnérabilité est sérieuse et doit être traitée rapidement.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.