ड्रूपल कोर में गतिशील रूप से निर्धारित ऑब्जेक्ट एट्रिब्यूट भेद्यता का अनुचित रूप से नियंत्रित संशोधन

CVE-2025-31674 Drupal कोर में एक ऑब्जेक्ट इंजेक्शन भेद्यता है जो एक हमलावर को गतिशील रूप से निर्धारित ऑब्जेक्ट विशेषताओं को अनियंत्रित तरीके से संशोधित करने की अनुमति देता है। इससे रिमोट कोड निष्पादन, विशेषाधिकार वृद्धि या सेवा से इनकार हो सकता है, यह इस बात पर निर्भर करता है कि इंजेक्शन का उपयोग कैसे किया जाता है। यह भेद्यता Drupal कोर के संस्करण 8.0.0 से 10.3.12, 10.4.0 से 10.4.2, 11.0.0 से 11.0.11 और 11.1.0 से 11.1.2 को प्रभावित करती है। इस भेद्यता की गंभीरता उच्च है, क्योंकि एक हमलावर कई मामलों में प्रमाणीकरण के बिना इसका फायदा उठा सकता है। ऑब्जेक्ट इंजेक्शन एक महत्वपूर्ण भेद्यता है जिसके लिए सुरक्षा उल्लंघनों को रोकने के लिए तत्काल ध्यान देने की आवश्यकता है।

1. आरक्षित2025-03-31
2. प्रकाशित2025-04-01
3. संशोधित2025-12-10
4. EPSS अद्यतन2026-03-23

CVE-2025-31674 के लिए प्राथमिक शमन Drupal कोर को संस्करण 10.3.13, 10.4.3, 11.0.12 या 11.1.3 में अपडेट करना है। इन संस्करणों में भेद्यता को संबोधित करने के लिए आवश्यक पैच शामिल हैं। इसके अतिरिक्त, यह अनुशंसा की जाती है कि स्थापित तृतीय-पक्ष मॉड्यूल की समीक्षा करें ताकि यह सुनिश्चित हो सके कि वे भी अद्यतित हैं और कोई नई भेद्यता नहीं ला रहे हैं। उचित सुरक्षा प्रथाओं को लागू करना, जैसे कि इनपुट सत्यापन और डेटा सैनिटाइजेशन, शोषण के जोखिम को कम करने में भी मदद कर सकता है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने के लिए महत्वपूर्ण है। Drupal साइट के नियमित सुरक्षा ऑडिट भेद्यता का पता लगाने और शोषण से पहले उन्हें ठीक करने में मदद कर सकते हैं।