प्लेटफ़ॉर्म
drupal
घटक
core
में ठीक किया गया
9.3.19
9.4.3
CVE-2022-25276 Drupal Core में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। Media oEmbed iframe रूट iframe डोमेन सेटिंग को ठीक से मान्य नहीं करता है, जिससे XSS हो सकता है। यह भेद्यता Drupal Core के 9.3.9 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 9.3.19 में इस समस्या को ठीक कर दिया गया है।
Drupal Core में CVE-2022-25276 Media मॉड्यूल में oEmbed iframe रूट को प्रभावित करता है। यह भेद्यता iframe डोमेन सेटिंग के अनुचित सत्यापन के कारण होती है, जिससे एम्बेड को मुख्य डोमेन के संदर्भ में प्रदर्शित करने की अनुमति मिलती है। इससे क्रॉस-साइट स्क्रिप्टिंग (XSS), कुकी लीक या अन्य सुरक्षा कमजोरियां हो सकती हैं। तृतीय-पक्ष एम्बेड का व्यापक उपयोग करने वाली वेबसाइटों के लिए जोखिम विशेष रूप से अधिक है, क्योंकि एक हमलावर इस कमजोरी का फायदा उठाकर संरक्षित पृष्ठों में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जिससे उपयोगकर्ता सुरक्षा और साइट की अखंडता से समझौता हो सकता है। इस जोखिम को कम करने के लिए Drupal को 9.3.19 या उच्चतर संस्करण में अपग्रेड करना महत्वपूर्ण है। Drupal 7 प्रभावित नहीं है क्योंकि इसमें Media मॉड्यूल शामिल नहीं है।
एक हमलावर दुर्भावनापूर्ण oEmbed iframe बनाकर इस भेद्यता का फायदा उठा सकता है जो अविश्वसनीय डोमेन की ओर इशारा करता है। यदि Drupal साइट iframe डोमेन को सही ढंग से सत्यापित नहीं करती है, तो दुर्भावनापूर्ण कंटेंट मुख्य डोमेन के संदर्भ में लोड हो जाएगा, जिससे हमलावर उपयोगकर्ता के ब्राउज़र में मनमाना JavaScript कोड निष्पादित करने में सक्षम हो जाएगा। इसका उपयोग सत्र कुकीज़ को चुराने, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या वेबसाइट की सामग्री को संशोधित करने के लिए किया जा सकता है। शोषण की संभावना साइट के कॉन्फ़िगरेशन और Media मॉड्यूल के साथ इंटरैक्ट करने वाले कस्टम मॉड्यूल या कोड की उपस्थिति पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
1.26% (79% शतमक)
CVSS वेक्टर
CVE-2022-25276 को संबोधित करने का मुख्य समाधान Drupal Core को संस्करण 9.3.19 या उच्चतर में अपग्रेड करना है। इस अपडेट में oEmbed iframe डोमेन को सही ढंग से सत्यापित करने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, Media मॉड्यूल और इसकी oEmbed कार्यक्षमताओं का उपयोग करने वाले किसी भी कस्टम मॉड्यूल की समीक्षा और अपडेट करना उचित है। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से वेबसाइट पर लोड किए जा सकने वाले कंटेंट स्रोतों को प्रतिबंधित करके अतिरिक्त सुरक्षा परत प्रदान की जा सकती है। संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने के लिए साइट लॉग की निगरानी भी एक अनुशंसित अभ्यास है।
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नहीं, Drupal 7 प्रभावित नहीं है क्योंकि इसमें Media मॉड्यूल शामिल नहीं है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो जोखिम को कम करने के लिए कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने पर विचार करें।
oEmbed एक प्रोटोकॉल है जो आपके Drupal साइट में बाहरी वेबसाइटों से कंटेंट एम्बेड करने की अनुमति देता है।
आप साइट के व्यवस्थापन पृष्ठ पर 'साइट जानकारी' अनुभाग में Drupal संस्करण को सत्यापित कर सकते हैं।
हां, Drupal भेद्यता स्कैनिंग टूल कई हैं, दोनों मुफ्त और सशुल्क।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।