प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
1.0.3
1.0.4
CVE-2025-13982 Drupal Login Time Restriction मॉड्यूल में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत क्रियाएं करने की अनुमति दे सकती है, जिससे डेटा का समझौता हो सकता है। यह भेद्यता Drupal Login Time Restriction के संस्करण 1.0.3 से पहले के संस्करणों को प्रभावित करती है। Drupal ने इस समस्या को ठीक करने के लिए एक अपडेट जारी किया है।
यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उनके खाते में बदलाव करने या अन्य हानिकारक क्रियाएं करने की अनुमति देती है। हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण अनुरोधों को इंजेक्ट कर सकते हैं, जो उपयोगकर्ता के ज्ञान या सहमति के बिना Drupal Login Time Restriction मॉड्यूल के कार्यों को ट्रिगर करते हैं। इसका परिणाम उपयोगकर्ता खातों का अनधिकृत नियंत्रण, संवेदनशील डेटा का समझौता, या सिस्टम की अखंडता का उल्लंघन हो सकता है। इस भेद्यता का उपयोग Drupal वेबसाइटों पर हमला करने के लिए किया जा सकता है, जिससे संभावित रूप से महत्वपूर्ण डेटा हानि या सिस्टम में व्यवधान हो सकता है।
इस भेद्यता के बारे में सार्वजनिक जानकारी सीमित है, लेकिन CSRF भेद्यताएँ आमतौर पर शोषण योग्य होती हैं। यह भेद्यता अभी तक CISA KEV में शामिल नहीं की गई है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद नहीं हो सकते हैं, लेकिन Drupal वेबसाइटों को लक्षित करने वाले सक्रिय अभियानों की संभावना से इनकार नहीं किया जा सकता है। 2026-01-28 को CVE प्रकाशित किया गया था।
Drupal sites utilizing the Login Time Restriction module, particularly those with sensitive data or critical functionality, are at risk. Sites running older, unpatched versions of Drupal are especially vulnerable. Shared hosting environments where users have limited control over installed modules also face increased risk.
• drupal: Check the version of the Login Time Restriction module using drush pm-info logintimerestriction. If the version is less than 1.0.3, the system is vulnerable.
• generic web: Monitor Drupal site logs for suspicious POST requests originating from different IP addresses than the authenticated user's. Use a WAF to block requests without valid CSRF tokens.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Drupal Login Time Restriction मॉड्यूल को संस्करण 1.0.3 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन सत्यापन को लागू करने जैसे अतिरिक्त सुरक्षा उपाय लागू करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने में मदद कर सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है। Drupal के सुरक्षा सलाहकारों द्वारा जारी किए गए किसी भी अतिरिक्त मार्गदर्शन या सिफारिशों का पालन करें। अपडेट के बाद, यह सत्यापित करें कि CSRF सुरक्षा ठीक से काम कर रही है, उदाहरण के लिए, एक परीक्षण अनुरोध भेजकर जो CSRF टोकन के बिना किया गया है।
Login Time Restriction मॉड्यूल को संस्करण 1.0.3 या उच्चतर में अपडेट करें। यह संस्करण CSRF भेद्यता को ठीक करता है। आप Drupal के व्यवस्थापन इंटरफ़ेस के माध्यम से या Drupal.org से नए संस्करण को डाउनलोड करके और मॉड्यूल फ़ाइलों को बदलकर अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-13982 Drupal Login Time Restriction मॉड्यूल में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जो हमलावरों को अनधिकृत क्रियाएं करने की अनुमति देती है।
यदि आप Drupal Login Time Restriction के संस्करण 1.0.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Drupal Login Time Restriction मॉड्यूल को संस्करण 1.0.3 या बाद के संस्करण में अपडेट करें।
इस भेद्यता के सक्रिय शोषण के बारे में सार्वजनिक जानकारी सीमित है, लेकिन यह शोषण योग्य है।
Drupal सुरक्षा सलाहकार के लिए Drupal.org वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।