प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
9.3.19
9.4.3
CVE-2022-25278 Drupal Core के फॉर्म API में एक भेद्यता है, जहाँ फॉर्म तत्व एक्सेस का गलत मूल्यांकन किया जाता है। इसके कारण उपयोगकर्ता उस डेटा को बदल सकते हैं जिस तक उन्हें पहुंच नहीं होनी चाहिए। यह भेद्यता Drupal Core के 9.3.9 और उससे पहले के संस्करणों को प्रभावित करती है। Drupal के संस्करण 9.3.19 में इस समस्या को ठीक कर दिया गया है।
Drupal Core में CVE-2022-25278 फॉर्म API द्वारा फॉर्म तत्वों तक पहुंच का मूल्यांकन करने के तरीके को प्रभावित करता है। विशेष रूप से, सिस्टम कुछ क्षेत्रों को संशोधित करने के लिए आवश्यक अनुमतियों को सही ढंग से मान्य नहीं करता है, जिससे अपर्याप्त विशेषाधिकार वाले उपयोगकर्ता उन डेटा को संशोधित कर सकते हैं जिन तक उन्हें पहुंच नहीं होनी चाहिए। यह वेबसाइट कॉन्फ़िगरेशन को संशोधित करने, संवेदनशील सामग्री में हेरफेर करने या यहां तक कि उपयोगकर्ता डेटा को संशोधित करने के रूप में प्रकट हो सकता है। प्रभाव वेबसाइट कॉन्फ़िगरेशन और उपयोगकर्ता अनुमतियों पर निर्भर करता है, लेकिन सबसे खराब स्थिति में, यह साइट पर संग्रहीत जानकारी की अखंडता और सुरक्षा को खतरे में डाल सकता है। CVSS गंभीरता 6.5 है, जो एक मध्यम जोखिम का संकेत देती है। इस जोखिम को कम करने के लिए Drupal को संस्करण 9.3.19 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है।
यह भेद्यता Drupal फॉर्म के माध्यम से सबमिट किए गए डेटा में हेरफेर करके शोषण की जाती है। एक हमलावर एक दुर्भावनापूर्ण फॉर्म बना सकता है या मौजूदा फॉर्म डेटा को संशोधित कर सकता है ताकि कुछ क्षेत्रों को संशोधित करने के लिए आवश्यक अनुमतियों को दरकिनार किया जा सके। शोषण की सफलता वेबसाइट कॉन्फ़िगरेशन और उपयोगकर्ता अनुमतियों पर निर्भर करती है। एक तकनीकी रूप से कुशल हमलावर इस भेद्यता का लाभ उठाकर संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त कर सकता है या वेबसाइट कॉन्फ़िगरेशन को संशोधित कर सकता है। फॉर्म तत्वों तक पहुंच के अपर्याप्त सत्यापन से अपर्याप्त विशेषाधिकार वाले उपयोगकर्ता सुरक्षा प्रतिबंधों को दरकिनार कर सकते हैं और ऐसे कार्य कर सकते हैं जो उन्हें करने की अनुमति नहीं है।
एक्सप्लॉइट स्थिति
EPSS
0.45% (64% शतमक)
CVSS वेक्टर
CVE-2022-25278 को संबोधित करने का मुख्य समाधान Drupal Core को संस्करण 9.3.19 या बाद के संस्करण में अपडेट करना है। इस अपडेट में फॉर्म तत्वों तक पहुंच को सही ढंग से मान्य करने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, Drupal साइट पर उपयोगकर्ता अनुमतियों और भूमिकाओं की समीक्षा करने की सिफारिश की जाती है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ताओं के पास केवल उन कार्यात्मकताओं और डेटा तक पहुंच हो जिनकी उन्हें आवश्यकता है। नियमित सुरक्षा ऑडिट संभावित गलत कॉन्फ़िगरेशन की पहचान करने और उन्हें ठीक करने में मदद कर सकते हैं जो शोषण के जोखिम को बढ़ा सकते हैं। यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपायों पर विचार करें, जैसे कि साइट के कुछ क्षेत्रों तक पहुंच को प्रतिबंधित करना और संदिग्ध व्यवहार के लिए उपयोगकर्ता गतिविधि की निगरानी करना।
Actualice el núcleo de Drupal a la versión 9.4.3 o posterior, o a la versión 9.3.19 o posterior para mitigar la vulnerabilidad. Esta actualización corrige un error en la forma en que la API de formulario del núcleo de Drupal evalúa el acceso al elemento del formulario, lo que podría permitir a un usuario modificar datos a los que no debería tener acceso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
9.3.19 से पहले के Drupal Core संस्करण CVE-2022-25278 से प्रभावित हैं।
आप साइट के व्यवस्थापन पृष्ठ पर 'साइट जानकारी' अनुभाग में Drupal संस्करण की जांच कर सकते हैं।
अगर आप तुरंत अपनी साइट को अपडेट नहीं कर सकते हैं, तो साइट के संवेदनशील क्षेत्रों तक पहुंच को प्रतिबंधित करने और उपयोगकर्ता गतिविधि की निगरानी करने पर विचार करें।
Drupal सुरक्षा स्कैनर हैं जो आपको इस और अन्य भेद्यताओं की पहचान करने में मदद कर सकते हैं।
आप Drupal वेबसाइट और राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस पर अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।