Platform
drupal
Component
drupal
Opgelost in
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
CVE-2024-12393 is een Cross-Site Scripting (XSS) kwetsbaarheid in Drupal Core. Door onvoldoende sanitatie van statusberichten kunnen aanvallers kwaadaardige scripts injecteren. Dit kan leiden tot het uitvoeren van code in de context van de gebruiker. De kwetsbaarheid treft Drupal Core versies 8.8.0 tot 10.2.11, 10.3.0 tot 10.3.9, en 11.0.0 tot 11.0.8. De kwetsbaarheid is verholpen in versie 10.2.11.
De CVE-2024-12393-kwetsbaarheid in Drupal Core beïnvloedt de manier waarop statusberichten worden weergegeven met behulp van JavaScript. In specifieke configuraties worden deze berichten niet voldoende gesanitiseerd, waardoor een aanvaller mogelijk kwaadaardige JavaScript-code kan injecteren. Deze code kan in de browser van een gebruiker worden uitgevoerd, waardoor de beveiliging van de website mogelijk wordt aangetast. De ernst van de kwetsbaarheid wordt beoordeeld als 5.4 op de CVSS-schaal, wat een matig risico aangeeft. Aangetaste versies zijn Drupal Core vanaf 8.8.0 vóór 10.2.11, vanaf 10.3.0 vóór 10.3.9 en vanaf 11.0.0 vóór 11.0.8. Een succesvolle exploitatie kan leiden tot willekeurige code-uitvoering, diefstal van gevoelige informatie of manipulatie van de website.
De kwetsbaarheid wordt geëxploiteerd door middel van JavaScript-code-injectie in statusberichten. Een aanvaller kan dit bereiken door de gegevens te manipuleren die worden gebruikt om deze berichten te genereren, waarbij hij profiteert van het onvoldoende sanitiseren. De exploitatiecontext is afhankelijk van de specifieke Drupal-siteconfiguratie en de functionaliteiten die statusberichten gebruiken die met JavaScript worden weergegeven. Om de statusberichten te genereren, moet de aanvaller in staat zijn om de gebruikte gegevens te beïnvloeden, wat kan worden bereikt via verschillende kwetsbaarheden in aangepaste modules of thema's. De uitvoering van de geïnjecteerde code is afhankelijk van de browserconfiguratie van de gebruiker en de beveiligingsbeleidsregels van de website.
Exploit Status
EPSS
1.89% (83% percentiel)
CVSS-vector
De aanbevolen oplossing is om Drupal Core bij te werken naar een gepatchte versie. Werk specifiek bij naar versie 10.2.11 of hoger, 10.3.9 of hoger, of 11.0.8 of hoger. Deze versies bevatten patches die de JavaScript-sanitizatiekwetsbaarheid in statusberichten aanpakken. Als een onmiddellijke update niet mogelijk is, overweeg dan om tijdelijke mitigatiemaatregelen te implementeren, zoals het zorgvuldig bekijken van aangepaste JavaScript-code en tijdelijk het uitschakelen van functies die statusberichten gebruiken die met JavaScript worden weergegeven. Het zo snel mogelijk toepassen van de update is cruciaal om het risico op exploitatie te minimaliseren. Na de update moeten grondige tests worden uitgevoerd om de functionaliteit van de website te garanderen.
Actualice Drupal Core a la última versión disponible. Para las versiones 8.8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Drupal Core vanaf 8.8.0 vóór 10.2.11, vanaf 10.3.0 vóór 10.3.9 en vanaf 11.0.0 vóór 11.0.8.
Controleer de versie van Drupal Core die u gebruikt. Als deze binnen de getroffen bereiken valt, is deze waarschijnlijk kwetsbaar.
JavaScript-sanitizatie is het proces van het opschonen en valideren van JavaScript-code om alle kwaadaardige code te verwijderen of te neutraliseren.
Overweeg om tijdelijke mitigatiemaatregelen te implementeren, zoals het zorgvuldig bekijken van aangepaste JavaScript-code en tijdelijk het uitschakelen van functies die statusberichten gebruiken.
Drupal biedt ingebouwde update-tools en third-party modules die het updateproces kunnen vereenvoudigen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.