プラットフォーム
drupal
コンポーネント
drupal
修正版
9.3.13
10.0.2
11.0.1
9.3.14
CVE-2025-14840 は、Drupal HTTP Client Manager に存在する、異常または例外的な状況の不適切なチェックによる脆弱性です。この脆弱性は、攻撃者による Forceful Browsing を可能にし、機密情報の漏洩や不正なアクセスにつながる可能性があります。影響を受けるバージョンは Drupal Core 10.0.0 から 10.0.2、および 11.0.0 です。現在、対応バージョンへのアップグレードが推奨される修正手段です。
CVE-2025-14840は、DrupalのHTTPクライアントマネージャにおける脆弱性であり、強制ブラウジング攻撃を可能にします。これは、HTTPリクエストにおける異常または例外的な条件の不適切なチェックが原因です。攻撃者はこの脆弱性を悪用して、通常は外部からアクセスできない内部リソースにアクセスし、機密情報を漏洩させたり、不正な操作を実行したりする可能性があります。CVSSの深刻度は7.5であり、高いリスクを示しています。この脆弱性は、HTTPクライアントマネージャモジュールの特定のバージョンに影響します。0.0.0から9.3.13以前、10.0.0から10.0.2以前、11.0.0から11.0.1以前です。このリスクを軽減するために、パッチが適用されたバージョンに更新することが重要です。
攻撃者は、DrupalのHTTPクライアントマネージャに慎重に作成されたHTTPリクエストを送信することで、この脆弱性を悪用する可能性があります。異常な条件の適切な検証がないため、攻撃者はHTTPクライアントの動作を操作し、公開すべきではないリソースにアクセスすることを強制できます。これには、HTTPヘッダーの操作や悪意のあるURLの挿入などの手法が含まれる場合があります。エクスプロイトの成功は、Drupalサイトの構成と脆弱な内部リソースの存在に依存します。即時の修正がないため、更新されていないサイトは、このタイプの攻撃に対して脆弱です。
Organizations and individuals using Drupal Core versions 10.0.0–10.0.2 and 11.0.0 are at risk. This includes websites, applications, and services built on Drupal that rely on the HTTP Client Manager for external communication. Shared hosting environments utilizing these vulnerable Drupal versions are particularly susceptible.
• drupal: Check Drupal core version using drush --version. If the version is within the affected range (10.0.0–10.0.2 or 11.0.0), investigate further.
• drupal: Examine Drupal logs (sites/[site]/logs/drupal.log) for unusual HTTP requests or redirects.
• generic web: Use curl to test for potential URL redirection vulnerabilities. For example: curl -v https://[yourdrupalsite]/path/to/vulnerable/endpoint and examine the response headers.
• generic web: Review access logs for suspicious patterns of requests to internal or unexpected URLs.
disclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CVSS ベクトル
CVE-2025-14840の解決策は、HTTPクライアントマネージャモジュールをパッチが適用されたバージョンに更新することです。具体的には、使用しているDrupalのバージョンに応じて、バージョン9.3.13以降、10.0.2以降、または11.0.1以降に更新してください。Drupalは、この脆弱性を修正するためにこれらのアップデートをリリースしています。本番環境に適用する前に、テスト環境でアップデートを実行することをお勧めします。さらに、Drupalサイトのセキュリティ構成を確認して、機密リソースへのアクセス制限や強力なパスワードの使用など、ベストプラクティスが遵守されていることを確認してください。即時の回避策はありませんが、更新はサイトを保護するための最も効果的な方法です。
Actualice el módulo HTTP Client Manager a la versión 9.3.13 o superior, 10.0.2 o superior, o 11.0.1 o superior. Esto corregirá la vulnerabilidad de comprobación incorrecta de condiciones inusuales o excepcionales que permite la navegación forzada.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者が通常は利用できないリソースにアクセスするためにHTTPリクエストを操作する攻撃です。
これにより、攻撃者が機密情報にアクセスしたり、不正な操作を実行したりする可能性があります。
解決策ではありませんが、セキュリティ構成を確認し、機密リソースへのアクセスを制限してください。
DrupalのウェブサイトとDrupalモジュールリポジトリで確認できます。
はい、脆弱性スキャナは、Drupalサイト上のこの脆弱性を特定できます。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。