ड्रूपल कोर अनुचित त्रुटि प्रबंधन के प्रति संवेदनशील

Drupal Core में एक गंभीर भेद्यता (CVE-2024-11942) की पहचान की गई है, विशेष रूप से CKEditor 5 मॉड्यूल के भीतर। कुछ असामान्य साइट कॉन्फ़िगरेशन के तहत, यह भेद्यता एक हमलावर को छवि अपलोड के माध्यम से साइट के वेब रूट को फ़ाइल सिस्टम पर किसी अन्य स्थान पर ले जाने की अनुमति दे सकती है। इससे साइट की अनुपलब्धता, सेवा से इनकार (DoS) की स्थिति, या चरम मामलों में, संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 5.9 के रूप में रेट किया गया है। इस जोखिम को कम करने के लिए Drupal को संस्करण 10.2.10 या उच्चतर में अपडेट करना महत्वपूर्ण है।

Drupal sites utilizing the CKEditor 5 module with non-standard configurations are at the highest risk. This includes sites with custom modules or themes that modify file upload behavior or permissions. Shared hosting environments where users have limited control over file system permissions are also potentially vulnerable.

• drupal: Check Drupal core version using drush --version. Review CKEditor 5 module configuration for non-default settings. Examine web server access logs for unusual file upload patterns.

drush --version

• generic web: Monitor web server error logs for errors related to file system access or permission issues during image uploads. Use a WAF to detect and block suspicious file upload attempts.

1. 2024-12-05Disclosure

   disclosure

1. आरक्षित2024-11-27
2. प्रकाशित2024-12-05
3. संशोधित2025-12-10
4. EPSS अद्यतन2026-04-02

अच्छी खबर यह है कि इस भेद्यता का फायदा उठाने के लिए गैर-मानक साइट कॉन्फ़िगरेशन के एक बहुत विशिष्ट संयोजन की आवश्यकता होती है। इसे होने के लिए कई आवश्यकताओं को एक साथ पूरा करना होगा, जिससे एक विशिष्ट साइट के कमजोर होने की संभावना काफी कम हो जाती है। हालाँकि, यदि आपकी साइट CKEditor 5 के डिफ़ॉल्ट व्यवहार को संशोधित करने वाले कस्टम कॉन्फ़िगरेशन या एक्सटेंशन का उपयोग करती है, तो अपने कॉन्फ़िगरेशन का मूल्यांकन करना और जल्द से जल्द सुरक्षा अपडेट लागू करना आवश्यक है। Drupal 10.2.10 में अपग्रेड करना सबसे प्रभावी और अनुशंसित समाधान है।