प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
10.3.14
10.4.5
11.0.13
11.1.5
7.0.1
10.3.14
CVE-2025-31675 Drupal core में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं और उपयोगकर्ताओं को धोखा दे सकते हैं। यह भेद्यता Drupal core के संस्करण 8.0.0 से 11.1.5 तक प्रभावित करती है। इसे संस्करण 11.1.5 में ठीक किया गया है।
Drupal Core में CVE-2025-31675 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इसका मतलब है कि एक हमलावर Drupal साइट के वेब पेजों में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जो उन पृष्ठों को देखने वाले उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगा। संभावित प्रभाव में संवेदनशील जानकारी (जैसे सत्र कुकी) की चोरी, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करना या पृष्ठ सामग्री को संशोधित करना शामिल है। यह भेद्यता कई Drupal Core संस्करणों को प्रभावित करती है: 8.0.0 से 10.3.13, 10.4.0 से 10.4.4, 11.0.0 से 11.0.12, और 11.1.0 से 11.1.4 तक। इस जोखिम को कम करने के लिए, Drupal Core को पैच किए गए संस्करण में अपडेट करना महत्वपूर्ण है। इस समस्या का मूल कारण वेब पेज पीढ़ी के दौरान इनपुट का उचित सैनिटाइजेशन की कमी है, जो दुर्भावनापूर्ण कोड इंजेक्शन की अनुमति देता है।
यह भेद्यता वेब पेज पर प्रदर्शित होने से पहले ठीक से सैनिटाइज न किए गए इनपुट फ़ील्ड में दुर्भावनापूर्ण कोड इंजेक्ट करके शोषण किया जाता है। एक हमलावर इस भेद्यता का उपयोग फॉर्म, टिप्पणियों या किसी अन्य फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट डालने के लिए कर सकता है जहां उपयोगकर्ता डेटा इनपुट कर सकते हैं। ये स्क्रिप्ट उपयोगकर्ता के ब्राउज़र में निष्पादित होगी, जिससे हमलावर दुर्भावनापूर्ण क्रियाएं करने में सक्षम हो जाएगा। शोषण की जटिलता भेद्यता के विशिष्ट स्थान और Drupal साइट के कॉन्फ़िगरेशन पर निर्भर करती है। उपयोगकर्ता इनपुट के सत्यापन और एस्केप की कमी इस XSS भेद्यता के शोषण को सक्षम करने वाला प्रमुख कारक है।
Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.
• drupal: Check Drupal core version using drush --version.
• drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts.
• generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters.
• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.27% (50% शतमक)
CVSS वेक्टर
CVE-2025-31675 को कम करने के लिए प्राथमिक समाधान Drupal Core को संस्करण 10.3.14 या उच्चतर, 10.4.5 या उच्चतर, 11.0.13 या उच्चतर या 11.1.5 या उच्चतर में अपडेट करना है। इन संस्करणों में XSS कोड इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, किसी भी कस्टम या तृतीय-पक्ष मॉड्यूल की समीक्षा और अपडेट करें जो उपयोगकर्ता इनपुट के साथ इंटरैक्ट कर सकते हैं। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से ब्राउज़र लोड कर सकता है, उन सामग्री स्रोतों को प्रतिबंधित करके अतिरिक्त सुरक्षा परत प्रदान की जा सकती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद कर सकती है। इन सुरक्षा उपायों को लागू करने से आपके Drupal साइट को इस भेद्यता के शोषण से बचाने में मदद मिलेगी।
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.14 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.5 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.13 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.5 o superior. Si está utilizando la versión 7.x-1.x, actualice a una versión posterior a 7.x-1.12.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रभावित संस्करण Drupal Core 8.0.0 से 10.3.13, 10.4.0 से 10.4.4, 11.0.0 से 11.0.12, और 11.1.0 से 11.1.4 हैं।
आप साइट के व्यवस्थापन पृष्ठ पर 'साइट जानकारी' अनुभाग में Drupal Core संस्करण की जांच कर सकते हैं।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
CSP एक सुरक्षा तंत्र है जो वेबसाइट प्रशासकों को ब्राउज़र द्वारा लोड किए जा सकने वाले सामग्री स्रोतों को नियंत्रित करने की अनुमति देता है, जिससे XSS हमलों का जोखिम कम होता है।
आप Drupal सुरक्षा पृष्ठ पर CVE-2025-31675 के बारे में अधिक जानकारी पा सकते हैं: [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।