Platform
drupal
Component
core
Opgelost in
9.3.19
9.4.3
CVE-2022-25276 is een cross-site scripting (XSS) kwetsbaarheid in Drupal Core. De Media oEmbed iframe route valideert de iframe domein instelling niet correct, waardoor embeds in de context van het primaire domein kunnen worden weergegeven. Dit kan leiden tot XSS, gelekte cookies of andere kwetsbaarheden. Deze kwetsbaarheid treft Drupal Core versies tot en met 9.3.9. De kwetsbaarheid is verholpen in versie 9.3.19.
CVE-2022-25276 in Drupal Core heeft betrekking op de oEmbed iframe route binnen de Media module. De kwetsbaarheid ontstaat door onvoldoende validatie van de iframe domein instelling, waardoor embeds in de context van de primaire domein kunnen worden weergegeven. Dit kan potentieel leiden tot Cross-Site Scripting (XSS) aanvallen, cookie lekken of andere beveiligingskwetsbaarheden. Het risico is groter voor websites die veel gebruik maken van third-party embeds, aangezien een aanvaller deze zwakte kan uitbuiten om kwaadaardige code in beschermde pagina's te injecteren, waardoor de veiligheid van gebruikers en de integriteit van de site in gevaar komt. Het upgraden naar Drupal 9.3.19 of hoger is cruciaal om dit risico te beperken. Drupal 7 is niet getroffen aangezien het de Media module niet bevat.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardige oEmbed iframe te creëren die verwijst naar een onbetrouwbaar domein. Als de Drupal site de iframe domein niet correct valideert, wordt de kwaadaardige content geladen in de context van het primaire domein, waardoor de aanvaller willekeurige JavaScript code in de browser van de gebruiker kan uitvoeren. Dit kan gebruikt worden om sessie cookies te stelen, gebruikers om te leiden naar kwaadaardige websites of zelfs de inhoud van de website te wijzigen. De waarschijnlijkheid van uitbuiting hangt af van de configuratie van de site en de aanwezigheid van aangepaste modules of code die interageren met de Media module.
Exploit Status
EPSS
1.26% (79% percentiel)
CVSS-vector
De belangrijkste oplossing om CVE-2022-25276 aan te pakken is het upgraden van Drupal Core naar versie 9.3.19 of hoger. Deze update bevat de nodige fixes om de oEmbed iframe domein correct te valideren. Controleer en update bovendien alle aangepaste modules die de Media module en de bijbehorende oEmbed functionaliteiten gebruiken. Het implementeren van een Content Security Policy (CSP) kan een extra beschermingslaag bieden door de bronnen van content die op de website geladen kunnen worden te beperken. Het monitoren van site logs op verdachte activiteiten is eveneens een aanbevolen praktijk om potentiële exploitatie pogingen te detecteren en erop te reageren.
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Nee, Drupal 7 wordt niet getroffen aangezien het de Media module niet bevat.
Terwijl u niet kunt upgraden, overweeg dan om een Content Security Policy (CSP) te implementeren om het risico te beperken.
oEmbed is een protocol dat het mogelijk maakt om content van externe websites in uw Drupal site in te bedden.
U kunt de Drupal versie controleren op de beheerderspagina van de site, in het gedeelte 'Site informatie'.
Ja, er zijn verschillende Drupal kwetsbaarheidsscanners, zowel gratis als betaald.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.