9.3.6
9.2.13
9.2.13
9.2.13
CVE-2022-25270, Drupal Core के Quick Edit मॉड्यूल में एक एक्सेस नियंत्रण भेद्यता है। इस भेद्यता के कारण, "access in-place editing" अनुमति वाले उपयोगकर्ता कुछ ऐसी सामग्री देख सकते हैं जिसे देखने के लिए वे अधिकृत नहीं हैं। यह समस्या Drupal Core के 9.3.5 और उससे पहले के संस्करणों को प्रभावित करती है। Drupal के संस्करण 9.3.6 में इस समस्या को ठीक कर दिया गया है।
CVE-2022-25270 कोर में क्विक एडिट मॉड्यूल को प्रभावित करता है, जिससे 'इन-प्लेस एडिटिंग तक पहुंच' अनुमति वाले उपयोगकर्ताओं को ऐसी सामग्री देखने की अनुमति मिलती है जिसके लिए उनके पास अधिकार नहीं है। यह कुछ परिस्थितियों में एंटिटी एक्सेस चेक की अनुचितता के कारण होता है। जोखिम को मध्यम माना जाता है (CVSS 6.5)। केवल क्विक एडिट मॉड्यूल (जो स्टैंडर्ड प्रोफाइल के साथ आता है) स्थापित साइटें प्रभावित होती हैं। सीमित होने के बावजूद संवेदनशील जानकारी का खुलासा डेटा अखंडता और वेबसाइट सुरक्षा को खतरे में डाल सकता है। प्रभाव की गंभीरता अनधिकृत रूप से एक्सेस की गई सामग्री की संवेदनशीलता पर निर्भर करती है।
'इन-प्लेस एडिटिंग तक पहुंच' अनुमति वाले एक हमलावर के पास इस भेद्यता का शोषण करके ऐसी सामग्री देखने का अवसर हो सकता है जिस तक उन्हें सामान्य रूप से पहुंच नहीं होगी। इसमें उपयोगकर्ता का व्यक्तिगत डेटा, वित्तीय जानकारी या प्रतिबंधित सामग्री जैसी संवेदनशील जानकारी शामिल हो सकती है। शोषण के लिए क्विक एडिट मॉड्यूल स्थापित होना आवश्यक है और हमलावर के पास उपरोक्त अनुमति होनी चाहिए। हमले के लिए मौजूदा अनुमति से परे किसी अतिरिक्त प्रमाणीकरण की आवश्यकता नहीं होती है, जिससे इसका निष्पादन आसान हो जाता है। शोषण की जटिलता कम है, क्योंकि इसके लिए उन्नत तकनीकी ज्ञान की आवश्यकता नहीं होती है।
Sites utilizing the Drupal Standard profile with the Quick Edit module enabled are specifically at risk. Organizations relying on Drupal for content management and with strict access control requirements should prioritize patching. Shared hosting environments using Drupal Standard are also particularly vulnerable due to the pre-installed Quick Edit module.
• drupal: Check Drupal core version using drush --version. If ≤9.3.5, the system is potentially vulnerable.
• drupal: Verify Quick Edit module is enabled using drush en quickedit. Disable if not required.
• drupal: Review user roles and permissions to ensure only authorized users have 'access in-place editing'.
• generic web: Monitor Drupal logs (typically in /var/log/apache2/error.log or similar) for unusual access patterns or errors related to Quick Edit.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.25% (49% शतमक)
CVSS वेक्टर
अनुशंसित समाधान कोर को संस्करण 9.3.6 या उच्चतर में अपडेट करना है। यह अपडेट क्विक एडिट मॉड्यूल में अनुमति सत्यापन को ठीक करता है, जिससे अनधिकृत सामग्री एक्सेस को रोका जा सकता है। यदि तत्काल अपडेट संभव नहीं है, तो उपयोगकर्ता अनुमतियों की सावधानीपूर्वक समीक्षा करें और इन-प्लेस एडिटिंग एक्सेस को केवल उन लोगों तक सीमित करें जिन्हें इसकी आवश्यकता है। इसके अतिरिक्त, इस भेद्यता के शोषण का संकेत देने वाली वेबसाइट लॉग में किसी भी संदिग्ध गतिविधि की निगरानी करें। किसी भी सिस्टम की सुरक्षा बनाए रखने के लिए नियमित रूप से सुरक्षा पैच लागू करना एक बुनियादी अभ्यास है।
Actualice Drupal Core a la versión 9.3.6 o 9.2.13, o una versión posterior. Esto solucionará la vulnerabilidad en el módulo Quick Edit.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक कोर मॉड्यूल है जो आपको पूर्ण संपादक तक पहुंचने की आवश्यकता के बिना पृष्ठ पर सीधे सामग्री संपादित करने की अनुमति देता है।
यदि आपने क्विक एडिट मॉड्यूल स्थापित किया है (जो स्टैंडर्ड प्रोफाइल के साथ आता है), तो आपकी वेबसाइट संभावित रूप से कमजोर है। आप जिस कोर संस्करण का उपयोग कर रहे हैं, उसे सत्यापित करें।
उपयोगकर्ता अनुमतियों की समीक्षा करें और इन-प्लेस एडिटिंग एक्सेस को केवल उन लोगों तक सीमित करें जिन्हें इसकी आवश्यकता है। वेबसाइट लॉग की निगरानी करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन अनुमतियों की मैन्युअल समीक्षा और कोर संस्करण सत्यापन पर्याप्त है।
ऐसी कोई भी सामग्री जिस तक उपयोगकर्ता को पहुंच नहीं होनी चाहिए, जैसे व्यक्तिगत डेटा, वित्तीय जानकारी या प्रतिबंधित सामग्री।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।