प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
CVE-2024-55636 Drupal Core में मौजूद एक संभावित PHP ऑब्जेक्ट इंजेक्शन भेद्यता है। यदि किसी अन्य शोषण के साथ जोड़ा जाए तो यह आर्बिट्ररी फ़ाइल हटाने का कारण बन सकती है, हालाँकि यह सीधे तौर पर शोषण योग्य नहीं है। यह भेद्यता Drupal Core ≤9.5.9 को प्रभावित करती है। इस समस्या को Drupal के संस्करण 10.2.11 में ठीक कर दिया गया है।
CVE-2024-55636 Drupal कोर को प्रभावित करता है, जो संभावित PHP ऑब्जेक्ट इंजेक्शन भेद्यता प्रस्तुत करता है। यदि इसे किसी अन्य शोषण के साथ जोड़ा जाता है, तो यह मनमाना फ़ाइल हटाने का कारण बन सकता है। यह ध्यान रखना महत्वपूर्ण है कि यह भेद्यता वर्तमान में सीधे शोषण योग्य नहीं है। CVSS स्कोर को 9.8 पर रेट किया गया है, जो उच्च जोखिम दर्शाता है, लेकिन पूर्व शर्त की आवश्यकता तत्काल प्रभाव को काफी हद तक सीमित करती है।
CVE-2024-55636 का सफल शोषण unserialize() फ़ंक्शन को इनपुट को हेरफेर करने की अनुमति देने वाले किसी अन्य भेद्यता की उपस्थिति पर निर्भर करता है। इस पूर्व शर्त के बिना, PHP ऑब्जेक्ट इंजेक्शन का उपयोग फ़ाइल हटाने के लिए नहीं किया जा सकता है। Drupal समुदाय सक्रिय रूप से स्थिति की निगरानी कर रहा है और किसी भी संभावित जोखिम को कम करने के लिए कोर और मॉड्यूल को अपडेट रखने की सिफारिश करता है।
Organizations running Drupal Core versions 9.5.9 and earlier, particularly those with complex module configurations or custom code that might introduce vulnerabilities allowing input to unserialize(), are at risk. Shared hosting environments utilizing Drupal Core are also potentially vulnerable due to the shared nature of the infrastructure.
disclosure
एक्सप्लॉइट स्थिति
EPSS
8.79% (92% शतमक)
CVSS वेक्टर
मुख्य शमन इस तथ्य में निहित है कि इस भेद्यता का शोषण करने के लिए, एक अलग भेद्यता मौजूद होनी चाहिए जो हमलावर को unserialize() फ़ंक्शन को असुरक्षित इनपुट पारित करने की अनुमति देती है। वर्तमान में, Drupal कोर में कोई ज्ञात शोषण नहीं है जो इस आवश्यकता को पूरा करता है। Drupal ने निवारक उपाय लागू किए हैं, जिसमें इसके कुछ घटकों में गुणों में प्रकारों को जोड़ना शामिल है, ताकि सुरक्षा को मजबूत किया जा सके और हमले की सतह को कम किया जा सके।
Actualice Drupal Core a la última versión disponible. Para las versiones 8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह उच्च जोखिम दर्शाता है, लेकिन शोषण को सीमित करने के लिए एक पूर्व भेद्यता की आवश्यकता होती है।
हाँ, शमन लागू करने के लिए संस्करण 10.2.11 या उच्चतर में अपडेट करने की दृढ़ता से अनुशंसा की जाती है।
वर्तमान में, Drupal कोर में कोई ज्ञात शोषण नहीं है जो प्रत्यक्ष शोषण की अनुमति देता है।
Drupal और सभी मॉड्यूल को अपडेट रखें, और किसी भी तृतीय-पक्ष मॉड्यूल की सुरक्षा की समीक्षा करें।
यह एक तकनीक है जो हमलावर को एप्लिकेशन में दुर्भावनापूर्ण PHP ऑब्जेक्ट इंजेक्ट करने की अनुमति देती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।