प्लेटफ़ॉर्म
drupal
घटक
webform
में ठीक किया गया
9.2.18
9.3.12
CVE-2022-25273 Drupal Core के फॉर्म API में एक भेद्यता है, जहाँ कुछ मॉड्यूल के फॉर्म अनुचित इनपुट वैलिडेशन के प्रति संवेदनशील हो सकते हैं। इससे हमलावर निषिद्ध मानों को इंजेक्ट कर सकते हैं या डेटा को ओवरराइट कर सकते हैं। प्रभावित फॉर्म असामान्य हैं, लेकिन कुछ मामलों में हमलावर महत्वपूर्ण या संवेदनशील डेटा को बदल सकता है। यह भेद्यता Drupal 9.2.9 और उससे पहले के संस्करणों को प्रभावित करती है। Drupal के संस्करण 9.2.18 में इस समस्या को ठीक कर दिया गया है।
Drupal Core में CVE-2022-25273 भेद्यता Form API को प्रभावित करती है, जिससे हमलावर योगदान या कस्टम मॉड्यूल के फॉर्म में अनुमत मूल्यों को इंजेक्ट करने या डेटा को ओवरराइट करने में सक्षम हो जाते हैं। प्रभावित फॉर्म असामान्य हैं, लेकिन कुछ मामलों में, एक हमलावर महत्वपूर्ण या संवेदनशील डेटा को संशोधित कर सकता है। जोखिम कुछ फॉर्म में इनपुट सत्यापन की कमी के कारण होता है। इससे एप्लिकेशन लॉजिक का हेरफेर या गोपनीय जानकारी का खुलासा हो सकता है। CVSS गंभीरता रेटिंग 7.5 है, जो उच्च जोखिम का संकेत देती है। इस भेद्यता को कम करने के लिए संस्करण 9.2.18 में अपग्रेड करना महत्वपूर्ण है। अपग्रेड करने में विफलता वेबसाइटों को इस फॉर्म API में कमजोरी का फायदा उठाने वाले लक्षित हमलों के प्रति संवेदनशील बना सकती है। फॉर्म API की प्रकृति के कारण, यह भेद्यता वेबसाइट की विभिन्न कार्यात्मकताओं को प्रभावित कर सकती है, यह इस बात पर निर्भर करता है कि फॉर्म का उपयोग कैसे किया जाता है।
एक हमलावर HTTP अनुरोध के माध्यम से कमजोर फॉर्म में दुर्भावनापूर्ण डेटा इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। इस दुर्भावनापूर्ण डेटा का उपयोग मौजूदा डेटा को ओवरराइट करने, एप्लिकेशन लॉजिक को संशोधित करने या वेबसाइट कॉन्फ़िगरेशन और उपयोगकर्ता अनुमतियों के आधार पर मनमाना कोड निष्पादित करने के लिए किया जा सकता है। इस भेद्यता का सफल शोषण डेटा हानि, वेबसाइट कार्यक्षमता में परिवर्तन या सर्वर पर पूर्ण नियंत्रण का कारण बन सकता है। शोषण की कठिनाई फॉर्म की जटिलता और लागू किए गए सुरक्षा उपायों पर निर्भर करेगी। यह ध्यान रखना महत्वपूर्ण है कि Drupal 7 इस भेद्यता से प्रभावित नहीं है।
एक्सप्लॉइट स्थिति
EPSS
0.28% (52% शतमक)
CVSS वेक्टर
CVE-2022-25273 के लिए प्राथमिक शमन उपाय Drupal Core को संस्करण 9.2.18 या उच्चतर में अपग्रेड करना है। इस अपडेट में फॉर्म API में इनपुट सत्यापन भेद्यता को संबोधित करने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, फॉर्म API का उपयोग करने वाले योगदान और कस्टम मॉड्यूल की समीक्षा करना उचित है ताकि यह सुनिश्चित किया जा सके कि वे मजबूत इनपुट सत्यापन को लागू करते हैं। नियमित सुरक्षा ऑडिट फॉर्म में संभावित कमजोरियों की पहचान करने और उन्हें ठीक करने में मदद कर सकते हैं। डेटा प्रबंधन और एक्सेस नियंत्रण के लिए सख्त सुरक्षा नीतियों को लागू करने से भी सफल हमले के संभावित प्रभाव को कम किया जा सकता है। फॉर्म हेरफेर से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने के लिए एक अनुशंसित अभ्यास है।
Actualice el módulo Webform a la versión 9.2.18 o superior, o a la versión 9.3.12 o superior de Drupal Core. Esta actualización corrige una vulnerabilidad de inyección de valores no permitidos debido a una validación de entrada inadecuada en ciertos formularios, lo que podría permitir a un atacante alterar datos críticos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Drupal का फॉर्म API एक प्रणाली है जो डेवलपर्स को Drupal साइट के भीतर वेब फॉर्म बनाने और प्रबंधित करने की अनुमति देती है।
संस्करण 9.2.18 में CVE-2022-25273 को कम करने के लिए आवश्यक फिक्स शामिल हैं, जिससे आपकी वेबसाइट को संभावित हमलों से बचाया जा सकता है।
यदि आप 9.2.18 से पहले के Drupal संस्करण का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं। इसकी पुष्टि करने के लिए सुरक्षा ऑडिट करें।
फॉर्म API का उपयोग करने वाले अपने कस्टम मॉड्यूल के कोड की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि वे उचित इनपुट सत्यापन को लागू करते हैं।
नहीं, Drupal 7 इस भेद्यता से प्रभावित नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।