Platform
drupal
Component
drupal
Opgelost in
10.4.9
10.5.6
11.1.9
11.2.8
7.103.1
10.4.9
CVE-2025-13083 beschrijft een kwetsbaarheid in Drupal Core, waarbij het gebruik van de web browser cache kan leiden tot het blootleggen van gevoelige informatie. Deze kwetsbaarheid stelt aanvallers in staat om toegang te krijgen tot data die anders beschermd zou moeten zijn. De kwetsbaarheid treft Drupal core versies 8.0.0 en eerder, tot en met 9.5.9, evenals versies 10.5.0 en eerder, 11.0.0 en eerder, en 11.2.0 en eerder. Een fix is beschikbaar in versie 10.4.9.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie die in de browsercache is opgeslagen. Dit kan omvatten gebruikersgegevens, sessie-informatie of andere vertrouwelijke data. De impact is afhankelijk van de specifieke data die in de cache is opgeslagen en de privileges van de aanvaller. Het misbruik van de cache kan leiden tot een verlies van vertrouwelijkheid en mogelijk tot verdere acties, zoals het compromitteren van gebruikersaccounts of het verkrijgen van toegang tot andere systemen binnen de Drupal-omgeving. Hoewel de CVSS score LOW is, kan de impact aanzienlijk zijn in omgevingen waar gevoelige data wordt verwerkt.
Op dit moment is er geen publieke exploitatie van CVE-2025-13083 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-11-18. De EPSS score is nog niet bekend. Er zijn geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid. Het is raadzaam om de situatie te blijven volgen en updates te ontvangen van de Drupal security community.
Organizations and individuals using Drupal Core for websites or applications that handle sensitive data, particularly those running versions prior to 10.4.9. Sites with complex access control configurations or those relying heavily on browser caching are at higher risk.
• drupal: Check Drupal core version using drush --version.
• drupal: Review access control configurations for any inconsistencies or overly permissive settings.
• generic web: Monitor web server access logs for unusual requests targeting cached resources.
• generic web: Use browser developer tools to inspect cached resources and verify that sensitive data is not exposed.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Drupal Core naar versie 10.4.9 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het configureren van Drupal om het cachen van gevoelige data te voorkomen. Dit kan worden bereikt door de cache-instellingen aan te passen en te zorgen voor een correcte configuratie van de toegangsniveaus. Het implementeren van een Web Application Firewall (WAF) kan helpen om pogingen tot exploitatie te detecteren en te blokkeren. Na de upgrade, controleer de Drupal logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het testen van de cache-functionaliteit met gevoelige data.
Actualice Drupal core a la última versión disponible. Para las versiones 7.x, actualice a la versión 7.103 o superior. Para las versiones 8.x a 10.4.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13083 is a vulnerability in Drupal Core that allows exploitation of incorrectly configured access control security levels, potentially exposing sensitive information through browser caching. It affects versions ≤9.5.9.
You are affected if you are using Drupal Core versions 8.0.0 through 9.5.9, or 10.5.0, 11.0.0, 11.1.0, or 11.2.0. Versions 10.4.9 and later are not affected.
Upgrade Drupal Core to version 10.4.9 or later. Back up your site before upgrading and review access control configurations.
There is currently no indication of active exploitation of CVE-2025-13083.
Refer to the official Drupal security advisory on the Drupal.org website for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.