प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.4.9
10.5.6
11.1.9
11.2.8
7.103.1
10.4.9
CVE-2025-13083 Drupal कोर में एक भेद्यता है जो वेब ब्राउज़र कैश में संवेदनशील जानकारी के उपयोग से संबंधित है। इस भेद्यता का फायदा उठाकर एक्सेस कंट्रोल सुरक्षा स्तरों में गलत कॉन्फ़िगरेशन का फायदा उठाया जा सकता है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है। यह भेद्यता Drupal कोर के संस्करण 8.0.0 से पहले 10.4.9, 10.5.0 से पहले 10.5.6, 11.0.0 से पहले 11.1.9, 11.2.0 से पहले 11.2.8 और 7.0 से पहले 7.103 को प्रभावित करती है। इस समस्या को Drupal 10.4.9 में ठीक कर दिया गया है।
Drupal core में CVE-2025-13083 एक्सेस कंट्रोल सुरक्षा स्तरों के प्रबंधन के तरीके और वेब ब्राउज़र कैश के उपयोग को प्रभावित करता है। एक हमलावर गलत तरीके से कॉन्फ़िगर किए गए एक्सेस कंट्रोल का फायदा उठाकर ब्राउज़र कैश में संग्रहीत संवेदनशील जानकारी तक पहुंच सकता है। यदि कैश में गोपनीय डेटा है तो यह विशेष रूप से चिंताजनक है, क्योंकि इसे अनधिकृत उपयोगकर्ताओं को उजागर किया जा सकता है। यह भेद्यता Drupal core संस्करणों को 8.0.0 से 10.4.9 से पहले, 10.5.0 से 10.5.6 से पहले, 11.0.0 से 11.1.9 से पहले, 11.2.0 से 11.2.8 से पहले और 7.0 से 7.103 से पहले प्रभावित करता है। इस भेद्यता की गंभीरता संवेदनशील डेटा के संभावित रिसाव और एक्सेस कॉन्फ़िगरेशन को ठीक से लागू नहीं किए जाने पर इसे अपेक्षाकृत आसानी से शोषण करने की क्षमता में निहित है।
इस भेद्यता का फायदा उठाने के लिए, एक हमलावर को संरक्षित संसाधनों तक पहुंचने के लिए HTTP अनुरोधों में हेरफेर करने में सक्षम होना चाहिए। यह URL में दुर्भावनापूर्ण कोड इंजेक्ट करके या सत्र कुकीज़ में हेरफेर करके प्राप्त किया जा सकता है। हमलावर को ब्राउज़र कैश के व्यवहार को भी प्रभावित करने में सक्षम होना चाहिए ताकि संवेदनशील जानकारी संग्रहीत हो सके। शोषण की सफलता विशिष्ट Drupal कॉन्फ़िगरेशन और ब्राउज़र कैश में संवेदनशील जानकारी की उपस्थिति पर निर्भर करती है। शोषण की जटिलता Drupal साइट कॉन्फ़िगरेशन और लागू किए गए सुरक्षा उपायों के आधार पर भिन्न होती है।
Organizations and individuals using Drupal Core for websites or applications that handle sensitive data, particularly those running versions prior to 10.4.9. Sites with complex access control configurations or those relying heavily on browser caching are at higher risk.
• drupal: Check Drupal core version using drush --version.
• drupal: Review access control configurations for any inconsistencies or overly permissive settings.
• generic web: Monitor web server access logs for unusual requests targeting cached resources.
• generic web: Use browser developer tools to inspect cached resources and verify that sensitive data is not exposed.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CVSS वेक्टर
CVE-2025-13083 को कम करने का समाधान Drupal को पैच किए गए संस्करण में अपडेट करना है। विशेष रूप से, संस्करण 10.4.9 या उच्चतर, 10.5.6 या उच्चतर, 11.1.9 या उच्चतर, 11.2.8 या उच्चतर, या 7.103 या उच्चतर में अपडेट करने की अनुशंसा की जाती है। अपडेट के अलावा, Drupal के भीतर संवेदनशील संसाधनों के लिए एक्सेस कॉन्फ़िगरेशन की समीक्षा और मजबूत करने की अनुशंसा की जाती है। इसमें यह सुनिश्चित करना शामिल है कि एक्सेस कंट्रोल सही ढंग से परिभाषित हैं और केवल अधिकृत उपयोगकर्ताओं के पास गोपनीय जानकारी तक पहुंच है। संवेदनशील जानकारी को विस्तारित अवधि के लिए ब्राउज़र कैश में संग्रहीत होने से रोकने के लिए उचित कैशिंग नीतियों को लागू करना महत्वपूर्ण है। अंत में, नियमित सुरक्षा ऑडिट संभावित गलत कॉन्फ़िगरेशन की पहचान करने और ठीक करने में मदद कर सकते हैं।
Actualice Drupal core a la última versión disponible. Para las versiones 7.x, actualice a la versión 7.103 o superior. Para las versiones 8.x a 10.4.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रभावित संस्करण Drupal 8.0.0 से 10.4.9 से पहले, 10.5.0 से 10.5.6 से पहले, 11.0.0 से 11.1.9 से पहले, 11.2.0 से 11.2.8 से पहले और 7.0 से 7.103 से पहले हैं।
आप साइट के स्टेटस पेज या व्यवस्थापक इंटरफ़ेस के माध्यम से Drupal संस्करण की जांच कर सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो एक्सेस कंट्रोल को मजबूत करने और कैश कॉन्फ़िगरेशन की समीक्षा करने जैसे शमन उपायों को लागू करने पर विचार करें।
Drupal के लिए सुरक्षा मॉड्यूल हैं जो गलत कॉन्फ़िगरेशन और भेद्यता की पहचान करने में मदद कर सकते हैं।
आप Drupal वेबसाइट और NIST NVD जैसे भेद्यता डेटाबेस पर अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।