प्लेटफ़ॉर्म
drupal
घटक
drupal
में ठीक किया गया
1.7.0
8.0.1
Drupal में अनप्रकाशित नोड अनुमतियों में एक अनधिकृत पहुंच भेद्यता पाई गई है। यह भेद्यता Drupal 8 के संस्करण ≤8.x-1.7 को प्रभावित करती है। इस भेद्यता को ठीक करने के लिए, Drupal को संस्करण 1.7.0 या बाद में अपडेट करें।
Drupal में 'Unpublished Node Permissions' मॉड्यूल में CVE-2026-4933 भेद्यता 'अनुचित प्राधिकरण' का कारण बनती है, जिससे 'बलपूर्वक ब्राउज़िंग' (Forceful Browsing) हो सकती है। इसका मतलब है कि एक हमलावर उचित प्राधिकरण के बिना अप्रकाशित नोड्स (पृष्ठों, लेखों आदि) तक पहुंच सकता है। ये नोड्स केवल विशिष्ट उपयोगकर्ताओं (जैसे संपादकों या प्रशासकों) द्वारा निर्माण या समीक्षा प्रक्रिया के दौरान देखने के लिए अभिप्रेत हैं। प्राधिकरण की विफलता इन प्रतिबंधों को दरकिनार कर देती है, जिससे अनधिकृत उपयोगकर्ताओं को संवेदनशील जानकारी या विकास के अधीन जानकारी उजागर हो सकती है। CVSS स्कोर 7.5 एक उच्च जोखिम का संकेत देता है, जिसके लिए तत्काल ध्यान देने की आवश्यकता है। यह भेद्यता 1.7.0 से पहले के मॉड्यूल संस्करणों को प्रभावित करती है। प्रभाव अप्रकाशित नोड्स की सामग्री और उनमें निहित जानकारी की संवेदनशीलता के आधार पर भिन्न हो सकता है। इस जोखिम को कम करने के लिए मॉड्यूल को अपडेट करना महत्वपूर्ण है।
इस भेद्यता का शोषण करने के लिए तकनीकी ज्ञान और Drupal वेबसाइट तक पहुंच की आवश्यकता होती है। एक हमलावर अप्रकाशित नोड्स तक पहुंचने का प्रयास करने के लिए URL हेरफेर या HTTP अनुरोध तकनीकों का उपयोग कर सकता है। शोषण की जटिलता Drupal वेबसाइट के कॉन्फ़िगरेशन और लागू सुरक्षा उपायों पर निर्भर करती है। हमलावर को अप्रकाशित नोड्स के URL संरचना की पहचान करनी चाहिए और फिर प्राधिकरण त्रुटि का लाभ उठाकर सीधे उन तक पहुंचने का प्रयास करना चाहिए। इन नोड्स तक पहुंचने के लिए आवश्यक उचित प्रमाणीकरण की कमी शोषण को सक्षम करने वाला मुख्य कारक है। यह भेद्यता विकास या परीक्षण वातावरण में विशेष रूप से चिंताजनक है, क्योंकि अप्रकाशित नोड्स में संवेदनशील या अधूरी जानकारी हो सकती है।
Websites using Drupal 8.x with the Unpublished Node Permissions module installed and configured with overly permissive access controls are at significant risk. Sites with a large volume of unpublished content, or those handling sensitive information in drafts, are particularly vulnerable. Shared hosting environments where users have limited control over module versions are also at increased risk.
• drupal:
find /var/www/html/modules -name 'unpublish_node_permissions' -print• drupal:
curl -I http://your-drupal-site.com/node/unpublished-node | grep 'HTTP/1.1 403' # Check for 403 Forbidden on unpublished nodes with proper access controldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (14% शतमक)
CVSS वेक्टर
CVE-2026-4933 के लिए प्राथमिक शमन 'Unpublished Node Permissions' मॉड्यूल को संस्करण 1.7.0 या उच्चतर में अपडेट करना है। यह अपडेट 'बलपूर्वक ब्राउज़िंग' को सक्षम करने वाली प्राधिकरण त्रुटि को ठीक करता है। अपडेट करने से पहले, Drupal वेबसाइट का पूर्ण बैकअप लेने की दृढ़ता से अनुशंसा की जाती है, जिसमें डेटाबेस और वेबसाइट फ़ाइलें शामिल हैं। अपडेट के बाद, वेबसाइट की कार्यक्षमता बरकरार रहे और भेद्यता प्रभावी ढंग से हल हो जाए यह सुनिश्चित करने के लिए पूरी तरह से परीक्षण करना आवश्यक है। इसके अतिरिक्त, Drupal के भीतर उपयोगकर्ता अनुमति नीतियों की समीक्षा और मजबूत करें ताकि केवल अधिकृत उपयोगकर्ताओं को अप्रकाशित नोड्स तक पहुंच प्राप्त हो। सर्वर लॉग की नियमित रूप से निगरानी करके संदिग्ध गतिविधि का पता लगाना भी एक अच्छी सुरक्षा प्रथा है।
Actualice el módulo Unpublished Node Permissions a la versión 1.7.0 o superior. Esta versión corrige la vulnerabilidad de autorización incorrecta que permite la navegación forzada de contenido no publicado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ये Drupal में बनाए गए सामग्री आइटम (पृष्ठ, लेख आदि) हैं, लेकिन सार्वजनिक रूप से दिखाई नहीं देते हैं। इनका उपयोग प्रकाशन से पहले समीक्षा और संपादन के लिए किया जाता है।
'Unpublished Node Permissions' मॉड्यूल के संस्करण की जांच करें। यदि यह 1.7.0 से पहले का है, तो आपकी वेबसाइट कमजोर है।
एक अस्थायी उपाय के रूप में, अप्रकाशित नोड्स तक पहुंच को अधिकृत उपयोगकर्ताओं के सीमित समूह तक सीमित करने पर विचार करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन मैन्युअल सुरक्षा ऑडिट की सिफारिश की जाती है।
यह उच्च जोखिम का संकेत देता है, जिसका अर्थ है कि भेद्यता गंभीर है और तत्काल ध्यान देने की आवश्यकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।