प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
CVE-2024-12393 Drupal Core में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं और उपयोगकर्ताओं को धोखा दे सकते हैं। यह भेद्यता Drupal Core के 8.8.0 से पहले के 10.2.11, 10.3.0 से पहले के 10.3.9 और 11.0.0 से पहले के 11.0.8 संस्करणों को प्रभावित करती है। संस्करण 10.2.11 में इस समस्या को ठीक कर दिया गया है।
Drupal Core में CVE-2024-12393 भेद्यता JavaScript का उपयोग करके स्थिति संदेशों को प्रस्तुत करने के तरीके को प्रभावित करती है। कुछ विशिष्ट कॉन्फ़िगरेशन में, इन संदेशों को पर्याप्त रूप से सैनिटाइज़ नहीं किया जाता है, जिससे एक हमलावर दुर्भावनापूर्ण JavaScript कोड इंजेक्ट कर सकता है। यह कोड उपयोगकर्ता के ब्राउज़र में निष्पादित किया जा सकता है, जिससे वेबसाइट की सुरक्षा से समझौता हो सकता है। इस भेद्यता की गंभीरता को CVSS पैमाने पर 5.4 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है। प्रभावित संस्करणों में Drupal Core 8.8.0 से 10.2.11 तक, 10.3.0 से 10.3.9 तक और 11.0.0 से 11.0.8 तक शामिल हैं। सफल शोषण से मनमाना कोड निष्पादन, संवेदनशील जानकारी की चोरी या वेबसाइट में हेरफेर हो सकता है।
यह भेद्यता स्थिति संदेशों में JavaScript कोड इंजेक्ट करके शोषण किया जाता है। एक हमलावर इन संदेशों को उत्पन्न करने के लिए उपयोग किए जा रहे डेटा में हेरफेर करके इसे प्राप्त कर सकता है, और अपर्याप्त सैनिटाइजेशन का लाभ उठा सकता है। शोषण का संदर्भ विशिष्ट Drupal वेबसाइट कॉन्फ़िगरेशन और JavaScript द्वारा प्रस्तुत स्थिति संदेशों का उपयोग करने वाली कार्यात्मकताओं पर निर्भर करता है। शोषण के लिए हमलावर को स्थिति संदेशों को उत्पन्न करने के लिए उपयोग किए जा रहे डेटा को प्रभावित करने में सक्षम होना चाहिए, जिसे कस्टम मॉड्यूल या थीम में विभिन्न कमजोरियों के माध्यम से प्राप्त किया जा सकता है। इंजेक्ट किए गए कोड का निष्पादन उपयोगकर्ता के ब्राउज़र कॉन्फ़िगरेशन और वेबसाइट की सुरक्षा नीतियों पर निर्भर करता है।
एक्सप्लॉइट स्थिति
EPSS
1.89% (83% शतमक)
CVSS वेक्टर
अनुशंसित समाधान Drupal Core को पैच किए गए संस्करण में अपडेट करना है। विशेष रूप से, संस्करण 10.2.11 या उच्चतर, 10.3.9 या उच्चतर, या 11.0.8 या उच्चतर में अपडेट करें। इन संस्करणों में स्थिति संदेशों में JavaScript सैनिटाइजेशन भेद्यता को संबोधित करने वाले पैच शामिल हैं। यदि तत्काल अपडेट संभव नहीं है, तो अस्थायी शमन उपायों को लागू करने पर विचार करें, जैसे कि कस्टम JavaScript कोड की सावधानीपूर्वक समीक्षा करना और JavaScript द्वारा प्रस्तुत स्थिति संदेशों का उपयोग करने वाली सुविधाओं को अस्थायी रूप से अक्षम करना। शोषण के जोखिम को कम करने के लिए जितनी जल्दी हो सके अपडेट लागू करना महत्वपूर्ण है। अपडेट के बाद वेबसाइट की कार्यक्षमता सुनिश्चित करने के लिए पूरी तरह से परीक्षण किया जाना चाहिए।
Actualice Drupal Core a la última versión disponible. Para las versiones 8.8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Drupal Core 8.8.0 से 10.2.11 तक, 10.3.0 से 10.3.9 तक और 11.0.0 से 11.0.8 तक।
आप जिस Drupal Core संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह प्रभावित श्रेणियों में है, तो यह संभवतः कमजोर है।
JavaScript सैनिटाइजेशन किसी भी दुर्भावनापूर्ण कोड को हटाने या बेअसर करने के लिए JavaScript कोड को साफ़ और मान्य करने की प्रक्रिया है।
कस्टम JavaScript कोड की सावधानीपूर्वक समीक्षा करने और JavaScript द्वारा प्रस्तुत स्थिति संदेशों का उपयोग करने वाली सुविधाओं को अस्थायी रूप से अक्षम करने जैसे अस्थायी शमन उपायों को लागू करने पर विचार करें।
Drupal अपडेट प्रक्रिया को सरल बनाने वाले अंतर्निहित अपडेट टूल और तृतीय-पक्ष मॉड्यूल प्रदान करता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।