Drupal HTTP Client Manager में असामान्य या असाधारण स्थितियों के लिए अनुचित जाँच भेद्यता (Improper Check for Unusual or Exceptional Conditions vulnerability) ज़बरदस्ती ब्राउज़िंग (Forceful Browsing) की अनुमति देती है। यह समस्या HTTP Client Manager को प्रभावित करती है: 0.0.0 से पहले 9.3.13, 10.0.0 से पहले 10.0.2, 11.0.0 से पहले 11.0.1 तक।

CVE-2025-14840 Drupal के HTTP क्लाइंट मैनेजर में एक भेद्यता है, जो मजबूर ब्राउज़िंग हमले को सक्षम करती है। यह HTTP अनुरोधों में असामान्य या असाधारण स्थितियों की अपर्याप्त जाँच के कारण है। एक हमलावर इस भेद्यता का उपयोग करके आंतरिक संसाधनों तक पहुँच सकता है जो आमतौर पर बाहरी रूप से दुर्गम होते हैं, जिससे संवेदनशील जानकारी का खुलासा हो सकता है या अनधिकृत क्रियाएं की जा सकती हैं। CVSS गंभीरता रेटिंग 7.5 है, जो उच्च जोखिम का संकेत देती है। यह भेद्यता HTTP क्लाइंट मैनेजर मॉड्यूल के विशिष्ट संस्करणों को प्रभावित करती है: 9.3.13 से पहले 0.0.0, 10.0.2 से पहले 10.0.0 और 11.0.1 से पहले 11.0.0। इस जोखिम को कम करने के लिए पैच किए गए संस्करणों में अपडेट करना महत्वपूर्ण है।

Organizations and individuals using Drupal Core versions 10.0.0–10.0.2 and 11.0.0 are at risk. This includes websites, applications, and services built on Drupal that rely on the HTTP Client Manager for external communication. Shared hosting environments utilizing these vulnerable Drupal versions are particularly susceptible.

• drupal: Check Drupal core version using drush --version. If the version is within the affected range (10.0.0–10.0.2 or 11.0.0), investigate further. • drupal: Examine Drupal logs (sites/[site]/logs/drupal.log) for unusual HTTP requests or redirects. • generic web: Use curl to test for potential URL redirection vulnerabilities. For example: curl -v https://[yourdrupalsite]/path/to/vulnerable/endpoint and examine the response headers. • generic web: Review access logs for suspicious patterns of requests to internal or unexpected URLs.

1. 2026-01-28Disclosure

   disclosure

1. आरक्षित2025-12-17
2. प्रकाशित2026-01-28
3. संशोधित2026-02-06
4. EPSS अद्यतन2026-03-23

CVE-2025-14840 के लिए समाधान HTTP क्लाइंट मैनेजर मॉड्यूल को पैच किए गए संस्करण में अपडेट करना है। विशिष्ट रूप से, आप जिस Drupal संस्करण का उपयोग कर रहे हैं, उसके आधार पर संस्करण 9.3.13 या उच्चतर, 10.0.2 या उच्चतर या 11.0.1 या उच्चतर में अपडेट करें। Drupal ने इस भेद्यता को संबोधित करने के लिए इन अपडेट को जारी किया है। उत्पादन में लागू करने से पहले परीक्षण वातावरण में अपडेट करना उचित है। इसके अतिरिक्त, अपने Drupal साइट की सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि सर्वोत्तम प्रथाओं का पालन किया जा रहा है, जैसे कि संवेदनशील संसाधनों तक पहुंच को सीमित करना और मजबूत पासवर्ड का उपयोग करना। तत्काल कोई कार्य-इन-आसानी उपलब्ध नहीं है, लेकिन आपकी साइट को सुरक्षित रखने का यह सबसे प्रभावी तरीका है।