Platform
drupal
Component
drupal
Opgelost in
9.3.19
9.4.3
CVE-2022-25278 is een kwetsbaarheid in de Drupal core form API waarbij de toegang tot formulierelementen onjuist wordt geëvalueerd. Dit kan ertoe leiden dat een gebruiker gegevens kan wijzigen waartoe hij geen toegang zou mogen hebben. De impact is dat ongeautoriseerde gebruikers data kunnen manipuleren. De kwetsbaarheid treft Drupal Core versies tot en met 9.3.9. De kwetsbaarheid is verholpen in versie 9.3.19.
CVE-2022-25278 in Drupal Core beïnvloedt de manier waarop de form API de toegang tot formulierelementen evalueert. Specifiek valideert het systeem de permissies die nodig zijn om bepaalde velden te wijzigen niet correct, waardoor een gebruiker met onvoldoende privileges mogelijk gegevens kan wijzigen waarvoor hij geen toegang zou moeten hebben. Dit kan zich uiten in het wijzigen van websiteconfiguraties, het manipuleren van gevoelige inhoud of zelfs het wijzigen van gebruikersgegevens. De impact hangt af van de websiteconfiguratie en gebruikersrechten, maar in het ergste geval kan dit de integriteit en veiligheid van de informatie die op de Drupal-website is opgeslagen, in gevaar brengen. De CVSS-severity is 6,5, wat een matig risico aangeeft. Het is cruciaal om Drupal bij te werken naar versie 9.3.19 of hoger om dit risico te beperken.
De kwetsbaarheid wordt uitgebuit door de manipulatie van gegevens die via Drupal-formulieren worden verzonden. Een aanvaller kan een kwaadaardig formulier maken of de gegevens van een bestaand formulier wijzigen om de vereiste permissies te omzeilen om bepaalde velden te wijzigen. Het succes van de uitbuiting hangt af van de websiteconfiguratie en de gebruikersrechten. Een technisch vaardige aanvaller kan deze kwetsbaarheid benutten om ongeautoriseerde toegang te krijgen tot gevoelige gegevens of om de websiteconfiguratie te wijzigen. Het onvoldoende valideren van de toegang tot formulierelementen stelt een gebruiker met onvoldoende privileges in staat om beveiligingsbeperkingen te omzeilen en acties uit te voeren die hij niet zou mogen uitvoeren.
Exploit Status
EPSS
0.45% (64% percentiel)
CVSS-vector
De belangrijkste oplossing voor het aanpakken van CVE-2022-25278 is het bijwerken van Drupal Core naar versie 9.3.19 of hoger. Deze update bevat de nodige fixes om de toegang tot formulierelementen correct te valideren. Daarnaast wordt aanbevolen om gebruikersrechten en rollen op de Drupal-website te bekijken om ervoor te zorgen dat gebruikers alleen toegang hebben tot de functionaliteiten en gegevens die ze nodig hebben. Regelmatige beveiligingsaudits kunnen helpen bij het identificeren en corrigeren van mogelijke verkeerde configuraties die het risico op uitbuiting kunnen vergroten. Als een onmiddellijke update niet mogelijk is, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot bepaalde delen van de website en het monitoren van de gebruikersactiviteit op verdacht gedrag.
Actualice el núcleo de Drupal a la versión 9.4.3 o posterior, o a la versión 9.3.19 o posterior para mitigar la vulnerabilidad. Esta actualización corrige un error en la forma en que la API de formulario del núcleo de Drupal evalúa el acceso al elemento del formulario, lo que podría permitir a un usuario modificar datos a los que no debería tener acceso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Drupal Core-versies vóór 9.3.19 zijn kwetsbaar voor CVE-2022-25278.
U kunt de Drupal-versie controleren op de beheerpagina van de website, in het gedeelte 'Site-informatie'.
Als u uw website niet onmiddellijk kunt bijwerken, overweeg dan om de toegang tot gevoelige delen van de website te beperken en de gebruikersactiviteit te monitoren.
Er zijn Drupal-beveiligingsscanners die u kunnen helpen bij het identificeren van deze en andere kwetsbaarheden.
U kunt meer informatie vinden op de Drupal-website en in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.