प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
7.102
10.2.11
10.3.9
10.2.11
10.2.11
10.2.11
CVE-2024-55638 Drupal Core में एक संभावित PHP ऑब्जेक्ट इंजेक्शन भेद्यता है, जो किसी अन्य शोषण के साथ मिलकर रिमोट कोड निष्पादन (RCE) का कारण बन सकती है। यह सीधे तौर पर शोषण योग्य नहीं है। यह भेद्यता Drupal Core ≤9.5.9 संस्करणों को प्रभावित करती है। Drupal के डेटाबेस कोड में अतिरिक्त जांच जोड़कर इसे ठीक किया गया है। Drupal 10.2.11 में फिक्स उपलब्ध है।
CVE-2024-55638 Drupal Core में संभावित PHP ऑब्जेक्ट इंजेक्शन भेद्यता की पहचान करता है। हालांकि यह भेद्यता अपने आप में सीधे तौर पर शोषण योग्य नहीं है, लेकिन अगर इसे किसी अन्य शोषण के साथ जोड़ा जाए जो हमलावर को unserialize() फ़ंक्शन को असुरक्षित इनपुट पास करने की अनुमति देता है, तो यह रिमोट कोड एग्जीक्यूशन (RCE) का कारण बन सकता है। इस भेद्यता को CVSS पैमाने पर 9.8 के रूप में रेट किया गया है, जो एक गंभीर जोखिम दर्शाता है। यह ध्यान रखना महत्वपूर्ण है कि Drupal Core में वर्तमान में कोई ज्ञात शोषण नहीं है जो इस प्रकार के इंजेक्शन को सीधे अनुमति देता है। संस्करण 10.2.11 में अपडेट करना प्राथमिक शमन उपाय है।
CVE-2024-55638 भेद्यता का शोषण करने के लिए एक विशिष्ट संदर्भ की आवश्यकता होती है। यह 'प्लग एंड प्ले' भेद्यता नहीं है। शोषण को सक्षम करने के लिए, एक हमलावर को Drupal Core या तृतीय-पक्ष मॉड्यूल में एक दूसरी भेद्यता ढूंढनी होगी जो उन्हें unserialize() फ़ंक्शन को पास किए गए इनपुट को नियंत्रित करने की अनुमति देती है। इस नियंत्रित इनपुट को तब दुर्भावनापूर्ण PHP ऑब्जेक्ट को इंजेक्ट करने के लिए हेरफेर किया जा सकता है, जिससे संभावित रूप से मनमाना कोड निष्पादन हो सकता है। Drupal Core में ज्ञात शोषण की अनुपस्थिति से पता चलता है कि यह परिदृश्य वर्तमान में असंभव है, लेकिन संभावना मौजूद है और पैचिंग को उचित ठहराता है।
एक्सप्लॉइट स्थिति
EPSS
5.15% (90% शतमक)
CVSS वेक्टर
CVE-2024-55638 के लिए प्राथमिक शमन उपाय Drupal Core को संस्करण 10.2.11 या उच्चतर में अपडेट करना है। इस अपडेट में PHP ऑब्जेक्ट इंजेक्शन को रोकने में मदद करने के लिए अतिरिक्त जांच शामिल है। हालांकि Drupal Core में इस भेद्यता का सीधे शोषण करने के लिए कोई ज्ञात शोषण नहीं है, लेकिन कोर को अपडेट रखना एक बुनियादी सुरक्षा अभ्यास है। इसके अतिरिक्त, यह अनुशंसा की जाती है कि unserialize() में असुरक्षित डेटा को इंजेक्ट करने की अनुमति दे सकने वाले संभावित भेद्यताओं के लिए स्थापित तृतीय-पक्ष मॉड्यूल की जांच की जाए। Drupal साइट की सुरक्षा बनाए रखने के लिए निरंतर निगरानी और पैचिंग महत्वपूर्ण है।
Actualice Drupal Core a la última versión disponible. Específicamente, actualice a la versión 7.102, 10.2.11 o 10.3.9, o una versión posterior. Esto corrige la vulnerabilidad de deserialización de datos no confiables.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
हाँ, भले ही आपके पास कोई तृतीय-पक्ष मॉड्यूल न हो, CVE-2024-55638 के संभावित जोखिम को कम करने के लिए संस्करण 10.2.11 या उच्चतर में अपडेट करने की अनुशंसा की जाती है। हालांकि शोषण असंभव है, लेकिन अपडेट एक महत्वपूर्ण निवारक उपाय है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो अपनी साइट को संदिग्ध गतिविधि के लिए बारीकी से मॉनिटर करें और unserialize() फ़ंक्शन तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू करने पर विचार करें।
यह भेद्यता मुख्य रूप से Drupal Core संस्करणों को प्रभावित करती है। तृतीय-पक्ष मॉड्यूल समान भेद्यताएं पेश कर सकते हैं, इसलिए उन्हें भी अपडेट रखना महत्वपूर्ण है।
Drupal सुरक्षा ऑडिटिंग टूल का उपयोग करें या संभावित समस्याओं की पहचान करने के लिए आपके द्वारा उपयोग किए जा रहे तृतीय-पक्ष मॉड्यूल की भेद्यता सूची से परामर्श करें।
PHP ऑब्जेक्ट इंजेक्शन एक हमला तकनीक है जो एक हमलावर को एक एप्लिकेशन में दुर्भावनापूर्ण PHP कोड इंजेक्ट करने की अनुमति देती है, जिससे मनमाना कोड निष्पादन हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।