Platform
drupal
Component
drupal
Opgelost in
10.2.10
10.2.10
CVE-2024-11942 is een kwetsbaarheid in Drupal Core waarbij een bug in de CKEditor 5 module, onder bepaalde siteconfiguraties, ervoor kan zorgen dat image uploads de webroot verplaatsen. Dit kan leiden tot een onbeschikbare website. De kwetsbaarheid treft Drupal Core versies tot en met 10.2.9. De kwetsbaarheid is verholpen in versie 10.2.10.
Een kritieke kwetsbaarheid (CVE-2024-11942) is geïdentificeerd in Drupal Core, specifiek binnen de CKEditor 5 module. Onder bepaalde ongebruikelijke configuraties van een website kan deze kwetsbaarheid een aanvaller in staat stellen, door middel van het uploaden van afbeeldingen, de webroot van de website naar een andere locatie in het bestandssysteem te verplaatsen. Dit kan leiden tot onbeschikbaarheid van de website, een denial-of-service (DoS) conditie, of, in extreme gevallen, ongeautoriseerde toegang tot gevoelige gegevens. De ernst van de kwetsbaarheid wordt beoordeeld als 5.9 op de CVSS-schaal. Het is cruciaal om Drupal te updaten naar versie 10.2.10 of hoger om dit risico te mitigeren.
Deze kwetsbaarheid wordt geactiveerd wanneer een kwaadwillende gebruiker een afbeelding uploadt via de CKEditor 5 editor op een Drupal-website met een specifieke configuratie. Deze configuratie omvat doorgaans het manipuleren van bestandspaden en hoe CKEditor 5 met het bestandssysteem communiceert. Een aanvaller kan fouten in de padverwerking uitbuiten om de verplaatsing van de webroot-directory af te dwingen en de service te verstoren. De complexiteit van de vereiste configuratie maakt exploitatie minder waarschijnlijk, maar niet onmogelijk, vooral in ontwikkelomgevingen of websites met aangepaste configuraties.
Drupal sites utilizing the CKEditor 5 module with non-standard configurations are at the highest risk. This includes sites with custom modules or themes that modify file upload behavior or permissions. Shared hosting environments where users have limited control over file system permissions are also potentially vulnerable.
• drupal: Check Drupal core version using drush --version. Review CKEditor 5 module configuration for non-default settings. Examine web server access logs for unusual file upload patterns.
drush --version• generic web: Monitor web server error logs for errors related to file system access or permission issues during image uploads. Use a WAF to detect and block suspicious file upload attempts.
disclosure
Exploit Status
EPSS
1.56% (81% percentiel)
CVSS-vector
Het goede nieuws is dat het exploiteren van deze kwetsbaarheid een zeer specifieke combinatie van niet-standaard websiteconfiguraties vereist. Er moeten meerdere vereisten tegelijkertijd worden vervuld voordat dit kan gebeuren, waardoor de kans kleiner wordt dat een typische website kwetsbaar is. Als uw website echter aangepaste configuraties of extensies gebruikt die het standaardgedrag van CKEditor 5 wijzigen, is het essentieel om uw configuratie te evalueren en de beveiligingsupdate zo snel mogelijk toe te passen. Een upgrade naar Drupal 10.2.10 is de meest effectieve en aanbevolen oplossing.
Actualice Drupal Core a la versión 10.2.10 o superior. Esta actualización corrige la vulnerabilidad de manejo de errores. Realice una copia de seguridad de su sitio web antes de actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
De kwetsbaarheid wordt geactiveerd door niet-standaard configuraties die aangepaste bestandspaden en de interactie van CKEditor 5 met het bestandssysteem omvatten. De exacte details zijn complex en hangen af van de configuratie van de website.
Als een onmiddellijke update niet mogelijk is, evalueer dan de configuratie van uw website op niet-standaard wijzigingen in bestandspaden en de bestandsafhandeling van CKEditor 5. Raadpleeg de Drupal-documentatie voor meer informatie.
Nee. De kwetsbaarheid heeft alleen invloed op websites met specifieke en ongebruikelijke configuraties. Het is echter belangrijk om te updaten om potentiële risico's te vermijden.
Momenteel zijn er geen geautomatiseerde tools om deze kwetsbaarheid te detecteren. De beste manier om uzelf te beschermen is om te updaten naar de nieuwste versie van Drupal.
U kunt meer informatie vinden op de Drupal-website en in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.