प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.1.5
10.0.12
9.5.12
9.5.11
9.5.11
9.5.11
CVE-2023-5256, Drupal Core के JSON:API मॉड्यूल में एक भेद्यता है, जिसके कारण कुछ स्थितियों में त्रुटि बैकट्रेस आउटपुट हो सकते हैं। कुछ कॉन्फ़िगरेशन के साथ, यह संवेदनशील जानकारी को कैश कर सकता है और अनाम उपयोगकर्ताओं के लिए उपलब्ध करा सकता है, जिससे विशेषाधिकार वृद्धि हो सकती है। यह भेद्यता केवल JSON:API मॉड्यूल सक्षम वाली साइटों को प्रभावित करती है। इसे Drupal 9.5.11 में ठीक किया गया है।
Drupal में CVE-2023-5256 भेद्यता JSON:API मॉड्यूल को प्रभावित करती है, जिससे कुछ परिदृश्यों में त्रुटि बैकट्रेस (backtraces) आउटपुट हो सकते हैं। कुछ कॉन्फ़िगरेशन के साथ, इससे संवेदनशील जानकारी कैश हो सकती है और अज्ञात उपयोगकर्ताओं के लिए उपलब्ध हो सकती है, जिससे विशेषाधिकारों का उन्नयन हो सकता है। CVSS स्कोर 9.5 है, जो एक गंभीर जोखिम दर्शाता है। यह समझना महत्वपूर्ण है कि यह भेद्यता Drupal के मुख्य REST मॉड्यूल या योगदानित GraphQL मॉड्यूल को प्रभावित नहीं करती है। उत्पादन वातावरण में संवेदनशील जानकारी का खुलासा एप्लिकेशन की सुरक्षा और उपयोगकर्ता डेटा को खतरे में डाल सकता है।
इस भेद्यता का शोषण करने के लिए JSON:API मॉड्यूल सक्षम होना चाहिए और त्रुटि बैकट्रेस को कैश करने की अनुमति देने वाले विशिष्ट कॉन्फ़िगरेशन होने चाहिए। एक हमलावर JSON:API मॉड्यूल के भीतर एक त्रुटि को ट्रिगर कर सकता है, जिससे एक त्रुटि बैकट्रेस उत्पन्न होता है जिसमें संवेदनशील जानकारी होती है। यदि यह बैकट्रेस कैश हो जाता है और अज्ञात उपयोगकर्ताओं को प्रदान किया जाता है, तो हमलावर गोपनीय जानकारी (जैसे फ़ाइल पथ, डेटाबेस नाम या स्रोत कोड) तक पहुंच प्राप्त कर सकता है। शोषण की संभावना साइट के विशिष्ट कॉन्फ़िगरेशन और JSON:API मॉड्यूल के भीतर त्रुटियों की उपस्थिति पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
1.29% (80% शतमक)
इस भेद्यता को कम करने का सबसे सीधा तरीका JSON:API मॉड्यूल को अनइंस्टॉल करना है। यदि मॉड्यूल साइट की कार्यक्षमता के लिए आवश्यक है, तो संस्करण 9.5.11 या उच्चतर में अपडेट करने की अनुशंसा की जाती है, जिसमें सुधार शामिल है। किसी भी मॉड्यूल अपडेट या अनइंस्टॉल करने से पहले साइट का पूर्ण बैकअप लिया जाना चाहिए। इसके अतिरिक्त, साइट कॉन्फ़िगरेशन की जांच करें ताकि यह सुनिश्चित हो सके कि कोई भी सेटिंग संवेदनशील जानकारी के जोखिम को नहीं बढ़ाती है। उचित अपडेट और अच्छे सुरक्षा अभ्यास आपके Drupal साइट को सुरक्षित रखने के लिए आवश्यक हैं।
Desinstale el módulo JSON:API para mitigar la vulnerabilidad. Alternativamente, actualice Drupal Core a la última versión disponible que contenga la corrección para este problema. Consulte el anuncio de seguridad de Drupal para obtener más detalles y parches.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नहीं, यह केवल उन साइटों को प्रभावित करती है जिन पर JSON:API मॉड्यूल सक्षम है।
मॉड्यूल को संस्करण 9.5.11 या उच्चतर में अपडेट करें।
यदि आपने JSON:API मॉड्यूल सक्षम किया है, तो आपकी साइट कमजोर होने की संभावना है। प्रवेश परीक्षण करें या Drupal सुरक्षा विशेषज्ञ से परामर्श लें।
भेद्यता स्कैनर इस भेद्यता का पता लगा सकते हैं, लेकिन इसकी उपस्थिति की पुष्टि करने के लिए मैनुअल परीक्षण करना महत्वपूर्ण है।
फ़ाइल पथ, डेटाबेस नाम, स्रोत कोड और त्रुटि बैकट्रेस में पाई जाने वाली अन्य गोपनीय जानकारी।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।