CVE-2026-4393: CSRF in Drupal Automated Logout

CSRF भेद्यता का शोषण करने वाला हमलावर, उपयोगकर्ता के ज्ञान के बिना, उनके खाते के माध्यम से अनधिकृत क्रियाएं कर सकता है। उदाहरण के लिए, हमलावर स्वचालित लॉगआउट सेटिंग्स को बदल सकता है, जिससे उपयोगकर्ता के सत्र को अनजाने में समाप्त किया जा सकता है या अन्य संवेदनशील कार्यों को किया जा सकता है। यह भेद्यता विशेष रूप से उन उपयोगकर्ताओं के लिए जोखिम भरी है जो Drupal Automated Logout मॉड्यूल का उपयोग करते हैं और जिनके पास मजबूत सुरक्षा उपाय नहीं हैं। हमलावर एक दुर्भावनापूर्ण वेबसाइट या ईमेल के माध्यम से इस भेद्यता का फायदा उठा सकता है, जिससे उपयोगकर्ता अनजाने में हमलावर द्वारा नियंत्रित अनुरोधों को अधिकृत कर सकते हैं।

Websites using Drupal with the Automated Logout module installed, particularly those running vulnerable versions (2.0.0–8.x-1.7). Sites with less stringent access controls to the Automated Logout configuration are at higher risk.

• drupal / module: Check Drupal module versions for Automated Logout.

  drush pm-info --title --core --modules --themes --profiles | grep Automated Logout

• drupal / configuration: Review Automated Logout configuration settings for unexpected changes. • generic web: Monitor access logs for suspicious requests targeting Automated Logout endpoints.

1. 2026-03-26Disclosure

   disclosure

1. आरक्षित2026-03-18
2. प्रकाशित2026-03-26
3. संशोधित2026-04-01
4. EPSS अद्यतन2026-04-03

CVE-2026-4393 के प्रभाव को कम करने के लिए, Drupal Automated Logout मॉड्यूल को तुरंत 2.0.2 संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन सत्यापन को लागू करने जैसे अस्थायी समाधानों का उपयोग किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने में मदद कर सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता Drupal और मॉड्यूल को नवीनतम सुरक्षा पैच के साथ अपडेट रखें।