प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31673 Drupal Core में एक 'अनुचित प्राधिकरण' (Incorrect Authorization) भेद्यता है, जो हमलावरों को अनधिकृत रूप से डेटा तक पहुंचने की अनुमति दे सकती है। इस भेद्यता के कारण Forceful Browsing हो सकता है, जिससे संवेदनशील जानकारी उजागर हो सकती है। यह Drupal Core के संस्करण 8.0.0 से 10.3.13 से पहले, 10.4.0 से 10.4.3 से पहले, 11.0.0 से 11.0.12 से पहले, और 11.1.0 से 11.1.3 से पहले के संस्करणों को प्रभावित करता है। Drupal 10.3.13 में इस समस्या का समाधान किया गया है।
Drupal Core में CVE-2025-31673 एक गलत प्राधिकरण भेद्यता है, जिसके परिणामस्वरूप बलपूर्वक ब्राउज़िंग (Forceful Browsing) होती है। इसका मतलब है कि एक हमलावर उचित क्रेडेंशियल के बिना Drupal साइट पर संवेदनशील जानकारी तक पहुंच सकता है या अनधिकृत क्रियाएं कर सकता है। यह भेद्यता Drupal Core के कई संस्करणों को प्रभावित करती है: 8.0.0 से पहले 10.3.13, 10.4.0 से पहले 10.4.3, 11.0.0 से पहले 11.0.12, और 11.1.0 से पहले 11.1.3। CVSS स्कोर 4.6 है, जो मध्यम जोखिम दर्शाता है। सफल शोषण के परिणामस्वरूप डेटा उल्लंघन, विशेषाधिकार वृद्धि या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। समस्या का मूल कारण कुछ संसाधनों तक पहुंचने पर उपयोगकर्ता अनुमतियों का अपर्याप्त सत्यापन है।
बलपूर्वक ब्राउज़िंग तब होती है जब एक हमलावर उचित प्राधिकरण के बिना वेबसाइट के भीतर पृष्ठों या संसाधनों तक पहुंच सकता है। Drupal के संदर्भ में, इसमें URL या अनुरोध मापदंडों में हेरफेर करके कॉन्फ़िगरेशन फ़ाइलों, व्यवस्थापन पृष्ठों या संवेदनशील डेटा तक पहुंच शामिल हो सकती है। हमलावर स्वचालित स्कैनिंग टूल का उपयोग करके प्राधिकरण में कमजोरियों की पहचान कर सकते हैं और इस भेद्यता का शोषण कर सकते हैं। शोषण की सफलता विशिष्ट Drupal साइट कॉन्फ़िगरेशन और लागू सुरक्षा उपायों पर निर्भर करती है। कुछ मार्गों पर उचित अनुमति सत्यापन की कमी इस भेद्यता का मुख्य कारण है।
एक्सप्लॉइट स्थिति
EPSS
0.28% (51% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए अनुशंसित उपाय Drupal Core को नवीनतम उपलब्ध संस्करण (10.3.13, 10.4.3, 11.0.12 या 11.1.3) में अपडेट करना है, जो आपके वर्तमान संस्करण पर निर्भर करता है। संभावित हमलों से अपनी वेबसाइट की सुरक्षा के लिए इस अपडेट को तुरंत लागू करना महत्वपूर्ण है। इसके अतिरिक्त, साइट के संवेदनशील क्षेत्रों तक केवल अधिकृत उपयोगकर्ताओं की पहुंच सुनिश्चित करने के लिए उपयोगकर्ता अनुमतियों और भूमिकाओं की समीक्षा करें। नियमित सुरक्षा ऑडिट अन्य संभावित कमजोरियों की पहचान करने और उन्हें दूर करने में भी मदद कर सकते हैं। यह अपडेट इस खतरे को खत्म करने का सबसे प्रभावी और सीधा समाधान है।
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.3 o superior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक हमला तकनीक है जो एक हमलावर को उचित प्राधिकरण के बिना पृष्ठों या संसाधनों तक पहुंचने की अनुमति देती है।
Drupal 8.0.0 - 10.3.12, 10.4.0 - 10.4.2, 11.0.0 - 11.0.11 और 11.1.0 - 11.1.2।
Drupal व्यवस्थापन पैनल तक पहुंचें और साइट जानकारी अनुभाग में संस्करण की जांच करें।
अतिरिक्त सुरक्षा उपाय लागू करें, जैसे उपयोगकर्ता अनुमतियों को मजबूत करना और संदिग्ध गतिविधि के लिए साइट की निगरानी करना।
वेब सुरक्षा स्कैनर इस भेद्यता का पता लगा सकते हैं, लेकिन अपडेट सबसे प्रभावी समाधान बना हुआ है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।