Platform
drupal
Component
drupal
Opgelost in
3.6.4
3.7.3
3.6.5
CVE-2025-14472 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in Drupal Acquia Content Hub. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde acties uit te voeren namens geauthenticeerde gebruikers. De kwetsbaarheid treft versies 3.7.0 tot en met 3.7.3 van Acquia Content Hub. Het is essentieel om te upgraden naar een beveiligde versie om deze risico's te mitigeren.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van Acquia Content Hub, het creëren van nieuwe gebruikersaccounts met verhoogde privileges, of het manipuleren van content. Dit kan resulteren in dataverlies, compromittering van de integriteit van de website en mogelijk zelfs volledige controle over de omgeving. De impact is verhoogd omdat Acquia Content Hub vaak wordt gebruikt voor kritieke contentbeheerprocessen, waardoor de gevolgen van een succesvolle aanval aanzienlijk kunnen zijn. Een aanval kan ook leiden tot reputatieschade en verlies van vertrouwen bij gebruikers.
Op dit moment (2026-01-28) zijn er geen publieke exploit codes bekend. De kwetsbaarheid is recentelijk openbaar gemaakt. De EPSS score is nog niet bekend, maar gezien de aard van CSRF en de potentiële impact, is een medium tot hoog risico waarschijnlijk. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid.
Organizations using Drupal Acquia Content Hub for content management are at risk, particularly those running versions 3.7.0 through 3.7.3. Shared hosting environments where multiple users share the same Drupal instance are especially vulnerable, as an attacker could potentially compromise the accounts of other users.
• drupal: Check Drupal core files for suspicious code related to form handling and CSRF tokens.
grep -r 'CSRF token' /var/www/html/drupal/core/modules/system/system.form• drupal: Review Drupal logs for unusual activity or failed CSRF token validation attempts.
journalctl -u apache2 -f | grep "CSRF token validation failed"• generic web: Monitor access logs for requests with unexpected parameters or originating from unusual sources.
grep -i 'csrf' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Acquia Content Hub naar versie 3.6.4 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van CSRF-tokens op kritieke formulieren en acties. Een Web Application Firewall (WAF) kan ook worden geconfigureerd om CSRF-aanvallen te detecteren en te blokkeren. Controleer de Acquia Content Hub configuratie op onnodige privileges en beperk de toegang tot gevoelige functionaliteit. Na de upgrade, verifieer de integriteit van de installatie door te controleren of de CSRF-bescherming correct functioneert op alle kritieke formulieren.
Werk de Acquia Content Hub module bij naar versie 3.6.4 of hoger, of naar versie 3.7.3 of hoger. Dit corrigeert de CSRF kwetsbaarheid. U kunt de module bijwerken via de Drupal beheerinterface of met Composer.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14472 is a Cross-Site Request Forgery (CSRF) vulnerability affecting Drupal Acquia Content Hub versions 3.7.0–3.7.3, allowing attackers to perform unauthorized actions.
You are affected if you are using Drupal Acquia Content Hub versions 3.7.0 through 3.7.3. Upgrade to 3.6.4 or later to mitigate the risk.
Upgrade Acquia Content Hub to version 3.6.4 or later. Implement input validation and consider a WAF for added protection.
As of now, there are no confirmed reports of active exploitation, but the vulnerability remains a potential risk.
Refer to the official Drupal security advisory for detailed information and updates: [https://www.drupal.org/security/advisories/cve-2025-14472]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.