Platform
drupal
Component
drupal
Opgelost in
9.3.6
9.2.13
9.2.13
9.2.13
CVE-2022-25270 is een beveiligingslek in de Quick Edit module van Drupal Core. Door een onjuiste controle van toegangsrechten kunnen gebruikers met de 'access in-place editing' permissie mogelijk content bekijken waar ze geen toegang toe zouden mogen hebben. Deze kwetsbaarheid treft sites waar de QuickEdit module is geïnstalleerd (standaard bij het Standard profiel). Het probleem is verholpen in Drupal versie 9.3.6.
CVE-2022-25270 treft de Quick Edit-module in Core, waardoor gebruikers met de permissie 'toegang tot in-place bewerking' inhoud kunnen bekijken waarvoor ze geen autorisatie hebben. Dit komt door een onjuiste controle van entiteitsrechten in bepaalde omstandigheden. Het risico wordt als matig beoordeeld (CVSS 6.5). Websites worden alleen getroffen als de Quick Edit-module (die wordt geleverd met het Standaard-profiel) is geïnstalleerd. Blootstelling van gevoelige informatie, hoewel beperkt, kan de gegevensintegriteit en de beveiliging van de website in gevaar brengen. De ernst van de impact hangt af van de gevoeligheid van de inhoud die zonder autorisatie toegankelijk is.
Een aanvaller met de permissie 'toegang tot in-place bewerking' kan deze kwetsbaarheid uitbuiten om inhoud te bekijken waarvoor hij normaal gesproken geen toegang zou hebben. Dit kan gevoelige informatie omvatten, zoals persoonlijke gegevens van gebruikers, financiële informatie of beperkte inhoud. Exploitatie vereist dat de Quick Edit-module is geïnstalleerd en dat de aanvaller de genoemde permissie bezit. De aanval vereist geen aanvullende authenticatie bovenop de bestaande permissie, waardoor de uitvoering ervan wordt vergemakkelijkt. De complexiteit van de exploitatie is laag, omdat er geen geavanceerde technische kennis vereist is.
Sites utilizing the Drupal Standard profile with the Quick Edit module enabled are specifically at risk. Organizations relying on Drupal for content management and with strict access control requirements should prioritize patching. Shared hosting environments using Drupal Standard are also particularly vulnerable due to the pre-installed Quick Edit module.
• drupal: Check Drupal core version using drush --version. If ≤9.3.5, the system is potentially vulnerable.
• drupal: Verify Quick Edit module is enabled using drush en quickedit. Disable if not required.
• drupal: Review user roles and permissions to ensure only authorized users have 'access in-place editing'.
• generic web: Monitor Drupal logs (typically in /var/log/apache2/error.log or similar) for unusual access patterns or errors related to Quick Edit.
disclosure
Exploit Status
EPSS
0.25% (49% percentiel)
CVSS-vector
De aanbevolen oplossing is om Core bij te werken naar versie 9.3.6 of hoger. Deze update corrigeert de permissievalidatie in de Quick Edit-module, waardoor ongeautoriseerde toegang tot inhoud wordt voorkomen. Als een onmiddellijke update niet mogelijk is, controleer dan zorgvuldig de gebruikersrechten en beperk de toegang tot in-place bewerking tot alleen degenen die het nodig hebben. Bewaak bovendien de website-logboeken op verdachte activiteiten die kunnen wijzen op het exploiteren van deze kwetsbaarheid. Regelmatige beveiligingsupdates zijn een fundamentele praktijk om de beveiliging van elk systeem te waarborgen.
Werk Drupal Core bij naar versie 9.3.6 of 9.2.13, of een latere versie. Dit zal de kwetsbaarheid in de Quick Edit module oplossen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een Core-module die het mogelijk maakt om inhoud rechtstreeks op de pagina te bewerken, zonder de volledige editor te hoeven openen.
Als u de Quick Edit-module heeft geïnstalleerd (die wordt geleverd met het Standaard-profiel), is uw website mogelijk kwetsbaar. Controleer de Core-versie die u gebruikt.
Controleer de gebruikersrechten en beperk de toegang tot in-place bewerking tot alleen degenen die het nodig hebben. Bewaak de website-logboeken.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar handmatige controle van de rechten en verificatie van de Core-versie zijn voldoende.
Alle inhoud waarvoor de gebruiker geen toegang zou moeten hebben, zoals persoonlijke gegevens, financiële informatie of beperkte inhoud.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.