CVE-2022-25273は、Drupal CoreのフォームAPIにおける入力検証の脆弱性です。悪用されると、攻撃者が不正な値を注入したり、データを上書きしたりする可能性があります。影響を受けるのは特定のカスタムモジュールやコントリビュートモジュールを使用している場合のみですが、機密データが改ざんされる危険性があります。影響を受けるバージョンは9.2.9以下です。この問題はバージョン9.2.18で修正されました。
Drupal CoreのCVE-2022-25273は、Form APIに影響を与え、寄付またはカスタムモジュールのフォームに不正な値を注入したり、データを上書きしたりする攻撃者を可能にします。影響を受けるフォームは一般的ではありませんが、特定の状況下では、攻撃者が重要なまたは機密性の高いデータを変更する可能性があります。リスクは、一部のフォームにおける入力検証の不備に起因します。これにより、アプリケーションロジックの操作や機密情報の漏洩につながる可能性があります。CVSSの深刻度は7.5であり、高いリスクを示しています。この脆弱性を軽減するには、バージョン9.2.18にアップデートすることが重要です。アップデートしないと、WebサイトがこのForm APIの弱点を悪用する標的型攻撃に対して脆弱になる可能性があります。Form APIの性質上、この脆弱性は、フォームの使用方法に応じて、Webサイトのさまざまな機能に影響を与える可能性があります。
攻撃者は、HTTPリクエストを介して脆弱なフォームに悪意のあるデータを注入することで、この脆弱性を悪用する可能性があります。この悪意のあるデータは、既存のデータを上書きしたり、アプリケーションロジックを変更したり、Webサイトの構成とユーザーの権限に応じて、任意のコードを実行したりするために使用される可能性があります。この脆弱性の成功した悪用により、データ損失、Webサイトの機能の変更、またはサーバー全体の制御が発生する可能性があります。悪用の難易度は、フォームの複雑さと実装されているセキュリティ対策によって異なります。Drupal 7は、この脆弱性から影響を受けないことに注意することが重要です。
エクスプロイト状況
EPSS
0.28% (52% パーセンタイル)
CVSS ベクトル
CVE-2022-25273の主な軽減策は、Drupal Coreをバージョン9.2.18以降にアップデートすることです。このアップデートには、Form APIの入力検証の脆弱性を修正するために必要な修正が含まれています。さらに、Form APIを使用する寄付またはカスタムモジュールをレビューして、堅牢な入力検証を実装していることを確認することをお勧めします。定期的なセキュリティ監査は、フォームの潜在的な脆弱性を特定して修正するのに役立ちます。データ管理とアクセス制御のための厳格なセキュリティポリシーを実装することも、成功した攻撃の潜在的な影響を軽減するのに役立ちます。フォームの操作に関連するサーバーログの疑わしいアクティビティを監視することは、潜在的な攻撃を検出し、対応するための推奨されるプラクティスです。
Actualice el módulo Webform a la versión 9.2.18 o superior, o a la versión 9.3.12 o superior de Drupal Core. Esta actualización corrige una vulnerabilidad de inyección de valores no permitidos debido a una validación de entrada inadecuada en ciertos formularios, lo que podría permitir a un atacante alterar datos críticos.
脆弱性分析と重要アラートをメールでお届けします。
DrupalのForm APIは、Drupalサイト内でWebフォームを作成および管理できるシステムです。
バージョン9.2.18には、CVE-2022-25273を軽減するために必要な修正が含まれており、Webサイトを潜在的な攻撃から保護します。
9.2.18以前のDrupalバージョンを使用している場合は、脆弱である可能性が高くなります。セキュリティ監査を実行して確認してください。
Form APIを使用するカスタムモジュールのコードをレビューして、適切な入力検証を実装していることを確認してください。
いいえ、Drupal 7は、この脆弱性から影響を受けません。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。