प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-3057 Drupal कोर में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को वेब पेज उत्पन्न करते समय इनपुट को ठीक से साफ न करने का फायदा उठाकर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इस भेद्यता का प्रभाव उपयोगकर्ताओं को लक्षित करने वाले स्क्रिप्ट के निष्पादन तक हो सकता है। यह Drupal कोर के संस्करण 8.0.0 से पहले 10.3.13, 10.4.0 से पहले 10.4.3, 11.0.0 से पहले 11.0.12, और 11.1.0 से पहले 11.1.3 को प्रभावित करता है। 10.3.13 संस्करण में एक सुधार उपलब्ध है।
Drupal Core में CVE-2025-3057 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इसका मतलब है कि एक हमलावर Drupal वेब पेजों में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जो उन उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगा जो उन पेजों को देखते हैं। प्रभाव सत्र कुकीज़ की चोरी और दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने से लेकर वेब पेज की सामग्री को संशोधित करने तक हो सकता है। यह भेद्यता Drupal Core के कई संस्करणों को प्रभावित करती है, जिसमें 8.0.0 से 10.3.13, 10.4.0 से 10.4.3, 11.0.0 से 11.0.12 और 11.1.0 से 11.1.3 तक के संस्करण शामिल हैं। भेद्यता को CVSS पैमाने पर 6.1 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है। इस जोखिम को कम करने के लिए Drupal को पैच किए गए संस्करण में अपडेट करना महत्वपूर्ण है।
यह भेद्यता वेब पेज पीढ़ी के दौरान इनपुट को ठीक से निष्क्रिय न करने के कारण उत्पन्न होती है। एक हमलावर इसे उचित रूप से सैनिटाइज न किए गए इनपुट फ़ील्ड के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके शोषण कर सकता है। यह कोड उपयोगकर्ता के ब्राउज़र में निष्पादित होगा, जिससे हमलावर विभिन्न दुर्भावनापूर्ण क्रियाएं करने में सक्षम हो जाएगा। शोषण संदर्भ विशिष्ट Drupal साइट कॉन्फ़िगरेशन और कमजोर इनपुट फ़ील्ड पर निर्भर करता है। उपयोगकर्ता इनपुट के उचित सत्यापन और एस्केप की कमी इस भेद्यता का मूल कारण है। Drupal साइट प्रशासकों को इस भेद्यता के बारे में पता होना चाहिए और अपनी वेबसाइटों की सुरक्षा के लिए कदम उठाने चाहिए।
एक्सप्लॉइट स्थिति
EPSS
0.35% (57% शतमक)
CVSS वेक्टर
CVE-2025-3057 के लिए समाधान Drupal Core को उस संस्करण में अपडेट करना है जिसमें फिक्स शामिल है। विशेष रूप से, संस्करण 10.3.13 या उच्चतर, 10.4.3 या उच्चतर, 11.0.12 या उच्चतर, या 11.1.3 या उच्चतर में अपडेट करें। अपडेट के अलावा, संभावित XSS भेद्यताओं की पहचान करने और ठीक करने के लिए कस्टम कोड की समीक्षा करें। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से XSS हमलों के प्रभाव को कम करने में मदद मिल सकती है, भले ही एप्लिकेशन पूरी तरह से पैच न किया गया हो। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना भी एक अच्छी सुरक्षा प्रथा है। हमलावरों के लिए अवसर को कम करने के लिए अपडेट जल्द से जल्द किया जाना चाहिए।
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1, actualice a la versión 11.1.3 o superior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रभावित संस्करण Drupal Core 8.0.0 से 10.3.13, 10.4.0 से 10.4.3, 11.0.0 से 11.0.12 और 11.1.0 से 11.1.3 तक के संस्करण हैं।
आप साइट के व्यवस्थापन पृष्ठ पर, 'साइट जानकारी' अनुभाग में Drupal संस्करण को सत्यापित कर सकते हैं।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेजों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
CSP (कंटेंट सिक्योरिटी पॉलिसी) एक सुरक्षा तंत्र है जो वेबसाइट प्रशासकों को वेब पेज के लिए ब्राउज़र द्वारा लोड किए जाने की अनुमति दी जाने वाली संसाधनों को नियंत्रित करने की अनुमति देता है।
आप Drupal वेबसाइट और CVE जैसे भेद्यता डेटाबेस पर अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।