Drupal कोर में एक संभावित PHP ऑब्जेक्ट इंजेक्शन (PHP Object Injection) भेद्यता है

CVE-2024-55637 Drupal Core को प्रभावित करता है और एक संभावित PHP ऑब्जेक्ट इंजेक्शन भेद्यता की पहचान करता है। हालांकि भेद्यता का CVSS स्कोर 9.8 है, जो एक गंभीर जोखिम दर्शाता है, लेकिन यह वर्तमान स्थिति में सीधे तौर पर शोषण योग्य नहीं है। गंभीरता एक अन्य भेद्यता के साथ संयुक्त होने पर रिमोट कोड निष्पादन (RCE) की संभावना से उत्पन्न होती है। PHP ऑब्जेक्ट इंजेक्शन एक हमलावर को कोड के भीतर ऑब्जेक्ट निर्माण में हेरफेर करने की अनुमति देता है, जो विशिष्ट परिस्थितियों में दुर्भावनापूर्ण कोड के निष्पादन का कारण बन सकता है। यह ध्यान रखना महत्वपूर्ण है कि यह भेद्यता संभावित मानी जाती है और इसे ट्रिगर करने के लिए एक दूसरी भेद्यता की आवश्यकता होती है।

Organizations utilizing Drupal Core versions 9.5.9 and earlier, particularly those with custom modules or themes, are at increased risk. Shared hosting environments running Drupal are also vulnerable, as they may lack control over core updates. Any deployment relying on untrusted input being processed by Drupal's unserialization functions is potentially at risk.

1. 2024-12-10Disclosure

   disclosure

1. आरक्षित2024-12-09
2. प्रकाशित2024-12-10
3. संशोधित2025-12-10
4. EPSS अद्यतन2026-04-02

CVE-2024-55637 के लिए प्राथमिक शमन Drupal Core को संस्करण 10.2.11 में अपग्रेड करने पर केंद्रित है। यह अपडेट प्रॉपर्टी प्रकार हैंडलिंग में सुधार करता है, जिससे ऑब्जेक्ट इंजेक्शन भेद्यता का शोषण करना अधिक कठिन हो जाता है। इसके अतिरिक्त, अपने Drupal वेबसाइट की सुरक्षा की लगातार निगरानी करना महत्वपूर्ण है, unserialize() फ़ंक्शन में असुरक्षित डेटा के इंजेक्शन की अनुमति दे सकने वाले किसी भी अन्य भेद्यता की तलाश करना और उन्हें संबोधित करना। सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करके सुरक्षित कोडिंग सर्वोत्तम प्रथाओं को लागू करना भी समग्र सुरक्षा जोखिम को कम करने में मदद करता है।