プラットフォーム
drupal
コンポーネント
drupal
修正版
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
Drupal Coreには、PHPオブジェクトインジェクションの脆弱性が存在し、別のエクスプロイトと組み合わせることでリモートコード実行(RCE)に繋がる可能性があります。直接的に悪用できるわけではありません。この問題は、攻撃者がunserialize()に安全でない入力を渡すことを可能にする別の脆弱性が存在する必要があるという事実によって軽減されます。影響を受けるバージョンは9.5.9以下です。バージョン10.2.11で修正されました。
CVE-2024-55637はDrupal Coreに影響を与え、潜在的なPHPオブジェクトインジェクションの脆弱性を特定しています。脆弱性自体はCVSSスコアが9.8であり、重大なリスクを示していますが、現在の状態では直接的に悪用されることはありません。深刻さは、別の脆弱性と組み合わされるとリモートコード実行(RCE)の可能性に由来します。PHPオブジェクトインジェクションにより、攻撃者はコード内のオブジェクト作成を操作でき、特定の状況下では悪意のあるコードの実行につながる可能性があります。この脆弱性は潜在的なものであり、トリガーされるためには別の脆弱性が存在する必要があることに注意することが重要です。
CVE-2024-55637の悪用には、非常に具体的なコンテキストが必要です。脆弱性をトリガーするには、攻撃者はまず、unserialize()関数への安全でないデータのインジェクションを可能にするDrupal Coreまたは寄付されたモジュール内の脆弱性を見つける必要があります。このインジェクションが達成されると、攻撃者はPHPオブジェクトインジェクションの脆弱性を悪用して悪意のあるコードを実行できます。現在、Drupal Core内のこの脆弱性の組み合わせを利用する既知のアクティブなエクスプロイトはありません。これにより、即時のリスクが大幅に軽減されます。
Organizations utilizing Drupal Core versions 9.5.9 and earlier, particularly those with custom modules or themes, are at increased risk. Shared hosting environments running Drupal are also vulnerable, as they may lack control over core updates. Any deployment relying on untrusted input being processed by Drupal's unserialization functions is potentially at risk.
disclosure
エクスプロイト状況
EPSS
7.61% (92% パーセンタイル)
CVSS ベクトル
CVE-2024-55637の主な軽減策は、Drupal Coreをバージョン10.2.11にアップグレードすることに焦点を当てています。このアップデートにより、プロパティタイプの処理が改善され、オブジェクトインジェクションの脆弱性を悪用することがより困難になります。さらに、Drupal Webサイトのセキュリティを継続的に監視し、unserialize()関数への安全でないデータのインジェクションを可能にする可能性のある他の脆弱性を探し、対処することが重要です。すべてのユーザー入力を検証およびサニタイズするなど、安全なコーディングのベストプラクティスを実装することも、全体的なセキュリティリスクを軽減するのに役立ちます。
Actualice Drupal Core a la última versión disponible. Para las versiones 8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
脆弱性分析と重要アラートをメールでお届けします。
はい、この潜在的な脆弱性を軽減するために、バージョン10.2.11にアップデートすることを強くお勧めします。
これは、攻撃者がコード内のオブジェクト作成を操作することを可能にする技術であり、悪意のあるコードの実行につながる可能性があります。
Drupal Coreと寄付されたモジュールを最新の状態に保ち、すべてのユーザー入力を検証およびサニタイズし、Webサイトのセキュリティを監視してください。
現在、Drupal Core内のこの脆弱性を悪用する既知のアクティブなエクスプロイトはありません。
できるだけ早くバージョン10.2.11にアップデートしてください。そうでない場合は、ユーザー入力の厳格な検証など、追加のセキュリティ対策を実装してください。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。
動画シーン
CVE-2024-55637の主な軽減策は、Drupal Coreをバージョン10.2.11にアップグレードすることに焦点を当てています。このアップデートにより、プロパティタイプの処理が改善され、オブジェクトインジェクションの脆弱性を悪用することがより困難になります。さらに、Drupal Webサイトのセキュリティを継続的に監視し、`unserialize()`関数への安全でないデータのインジェクションを可能にする可能性のある他の脆弱性を探し、対処することが重要です。すべてのユーザー入力を検証およびサニタイズするなど、安全なコーディングのベストプラクティスを実装することも、全体的なセキュリティリスクを軽減するのに役立ちます。