Platform
drupal
Component
drupal
Opgelost in
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
10.4.9
10.4.9
10.4.9
CVE-2025-13080 beschrijft een Improper Check voor ongebruikelijke of uitzonderlijke omstandigheden in Drupal Core, specifiek een Forceful Browsing kwetsbaarheid. Deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie of functionaliteit. De kwetsbaarheid treft Drupal core versies vanaf 8.0.0 tot en met 9.5.9, 10.5.0 tot en met 10.5.6, 11.0.0 tot en met 11.1.9 en 11.2.0 tot en met 11.2.8. Een patch is beschikbaar in versie 10.4.9.
CVE-2025-13080 in Drupal core heeft betrekking op versies vóór 10.4.9, 10.5.6, 11.1.9 en 11.2.8, waardoor een 'Forceful Browsing'-aanval mogelijk is. Dit komt door een onjuiste controle op ongebruikelijke of uitzonderlijke omstandigheden. Een aanvaller zou mogelijk toegang kunnen krijgen tot pagina's of bronnen die niet voor hem bedoeld zijn, waardoor gevoelige informatie wordt gecompromitteerd. Het risico is aanzienlijk, vooral op websites die vertrouwelijke gegevens verwerken of strikte toegangscontroles vereisen. De kwetsbaarheid heeft betrekking op de manier waarop Drupal navigatieverzoeken verwerkt, waardoor een aanvaller geïmplementeerde toegangsbeperkingen kan omzeilen. De ernst van de impact hangt af van de specifieke Drupal-websiteconfiguratie en de gegevens waartoe zonder autorisatie toegang kan worden verkregen. Het wordt ten zeerste aanbevolen om de beveiligingsupdates die door Drupal worden aangeboden toe te passen om dit risico te beperken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door de URL's van de website te manipuleren om toegang te krijgen tot beschermde pagina's of bronnen. Dit kan het toevoegen van onverwachte parameters of routes aan de URL omvatten. Het succes van de exploitatie hangt af van de configuratie van de Drupal-site en het al dan niet aanwezig zijn van gevoelige bronnen die toegankelijk zijn via deze gemanipuleerde routes. De kwetsbaarheid is gebaseerd op een gebrek aan juiste validatie van gebruikersinvoer, waardoor een aanvaller toegangsbeperkingen kan omzeilen. Het is belangrijk om op te merken dat het uitbuiten van deze kwetsbaarheid mogelijk een zekere mate van technische kennis van Drupal en de interne werking ervan vereist.
Exploit Status
EPSS
0.10% (28% percentiel)
De oplossing voor CVE-2025-13080 is het bijwerken van Drupal core naar versie 10.4.9 of hoger, 10.5.6 of hoger, 11.1.9 of hoger, of 11.2.8 of hoger. Deze updates corrigeren de gebrekkige controle die 'Forceful Browsing' mogelijk maakt. Het is cruciaal om een volledige back-up van de website te maken voordat u updates toepast. Nadat de update is voltooid, moet u alle websitefunctionaliteiten grondig testen om ervoor te zorgen dat ze correct werken. Controleer bovendien de machtigingen- en toegangsconfiguraties om ervoor te zorgen dat gebruikers alleen toegang hebben tot de bronnen die ze nodig hebben. Controleer de serverlogboeken op verdachte activiteiten na de update. De tijdige toepassing van deze mitigerende maatregelen is essentieel om uw Drupal-site te beschermen tegen mogelijke aanvallen.
Actualice Drupal core a la última versión disponible. Para las versiones 10.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een aanval waarbij een aanvaller probeert toegang te krijgen tot niet-geautoriseerde pagina's of bronnen door URL's te manipuleren.
Drupal core-versies vóór 8.0.0 (tot 10.4.9), 10.5.0 (tot 10.5.6), 11.0.0 (tot 11.1.9) en 11.2.0 (tot 11.2.8).
Controleer de versie van Drupal die u gebruikt en vergelijk deze met de vermelde kwetsbare versies. Voer navigatietests uit met verschillende URL's om potentiële ongeautoriseerde toegang te identificeren.
Implementeer aanvullende beveiligingsmaatregelen, zoals het versterken van machtigingsconfiguraties en het controleren van serverlogboeken.
Raadpleeg de Drupal-beveiligingspagina: https://www.drupal.org/security
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.