Platform
drupal
Component
drupal
Opgelost in
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
CVE-2025-13081 beschrijft een Object Injection kwetsbaarheid in Drupal Core. Deze kwetsbaarheid stelt aanvallers in staat om dynamisch bepaalde objectattributen onjuist te wijzigen, wat kan leiden tot ongeautoriseerde toegang en potentieel schadelijke acties. De kwetsbaarheid treft Drupal core versies 8.0.0 t/m 9.5.9, evenals versies 10.5.0 en 11.2.0. Een beveiligingsupdate is beschikbaar in Drupal 10.4.9.
CVE-2025-13081 in Drupal core vormt een risico van objectinjectie als gevolg van onvoldoende gecontroleerde wijziging van dynamisch bepaalde objectattributen. Dit betekent dat een aanvaller de manier waarop Drupal objecten verwerkt, kan manipuleren, mogelijk kwaadaardige code kan uitvoeren of toegang kan krijgen tot gevoelige informatie. De kwetsbaarheid treft Drupal core-versies van 8.0.0 tot 10.4.8, 10.5.0 tot 10.5.5, 11.0.0 tot 11.1.8 en 11.2.0 tot 11.2.7. De ernst, volgens CVSS, is 5.9, wat een matig risico aangeeft. Een succesvolle exploitatie kan de integriteit en vertrouwelijkheid van de Drupal-website in gevaar brengen. Het is cruciaal om de beveiligingsupdate toe te passen om dit risico te beperken.
Exploitatie van deze kwetsbaarheid vereist dat een aanvaller de mogelijkheid heeft om de attributen van objecten te beïnvloeden die Drupal manipuleert. Dit kan worden bereikt door invoergegevens te manipuleren, zoals formulieren of URL-parameters. De aanvaller kan dan kwaadaardige code injecteren die wordt uitgevoerd in de context van de Drupal-gebruiker met de overeenkomstige rechten. De potentiële impact varieert afhankelijk van de rechten van de getroffen gebruiker en de websiteconfiguratie. Of deze kwetsbaarheid actief in het wild is uitgebuit, is onbekend, maar preventieve maatregelen worden aanbevolen om potentiële aanvallen te voorkomen.
Exploit Status
EPSS
0.20% (42% percentiel)
CVSS-vector
De oplossing voor CVE-2025-13081 is om Drupal core bij te werken naar versie 10.4.9 of hoger, 10.5.6 of hoger, 11.1.9 of hoger, of 11.2.8 of hoger, respectievelijk. Drupal heeft een beveiligingsupdate uitgebracht die deze kwetsbaarheid direct aanpakt. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen, vooral als uw Drupal-website gevoelige informatie verwerkt of een hoog verkeersvolume heeft. Controleer bovendien bijgevoegde modules om ervoor te zorgen dat deze ook up-to-date zijn, aangezien ze indirect getroffen kunnen worden. Maak een back-up van uw website voordat u updates toepast, zodat u deze kunt herstellen in geval van problemen.
Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.4.9, 10.5.6, 11.1.9 o 11.2.8, o una versión posterior. Esto solucionará la vulnerabilidad de inyección de objetos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Objectinjectie is een kwetsbaarheid die een aanvaller in staat stelt om de manier te manipuleren waarop een applicatie objecten verwerkt, mogelijk kwaadaardige code uitvoert.
Als u niet onmiddellijk kunt updaten, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot gevoelige gebieden van de website en het controleren van serverlogboeken op verdachte activiteiten.
De kwetsbaarheid treft websites die de genoemde Drupal core-versies gebruiken. Als u een nieuwere versie gebruikt, bent u al beschermd.
U kunt meer informatie over deze kwetsbaarheid vinden op de Drupal-website en in kwetsbaarheidsdatabases zoals NIST NVD.
U kunt de versie van Drupal die u gebruikt controleren door toegang te krijgen tot de beheerpagina van de website en te zoeken naar versie-informatie in het sectie site-informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.