Platform
drupal
Component
drupal
Opgelost in
9.3.13
10.0.2
11.0.1
9.3.14
CVE-2025-14840 is een Improper Check voor ongebruikelijke of uitzonderlijke omstandigheden in de Drupal HTTP Client Manager. Deze kwetsbaarheid maakt Forceful Browsing mogelijk, waardoor een aanvaller mogelijk ongeautoriseerde toegang kan verkrijgen tot interne bronnen. De kwetsbaarheid treft Drupal Core versies 0.0.0 (voor 9.3.13), 10.0.0 (voor 10.0.2) en 11.0.0 (voor 11.0.1). Er is een patch beschikbaar voor Drupal 10.0.2 en 11.0.1.
CVE-2025-14840, een kwetsbaarheid in de HTTP Client Manager van Drupal, maakt een 'Forceful Browsing'-aanval mogelijk. Dit komt door een onvoldoende controle op ongebruikelijke of uitzonderlijke omstandigheden in HTTP-verzoeken. Een aanvaller kan deze fout uitbuiten om toegang te krijgen tot interne bronnen die normaal gesproken niet toegankelijk zijn van buitenaf, waardoor gevoelige informatie kan worden blootgelegd of ongeautoriseerde acties kunnen worden uitgevoerd. De CVSS-severity score is 7.5, wat een hoog risico aangeeft. Deze kwetsbaarheid treft specifieke versies van de HTTP Client Manager-module: van 0.0.0 vóór 9.3.13, van 10.0.0 vóór 10.0.2 en van 11.0.0 vóór 11.0.1. Het is cruciaal om te updaten naar de gepatchte versies om dit risico te beperken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door zorgvuldig samengestelde HTTP-verzoeken naar de HTTP Client Manager van Drupal te sturen. Het ontbreken van een adequate validatie van ongebruikelijke omstandigheden stelt de aanvaller in staat om het gedrag van de HTTP-client te manipuleren en deze te dwingen om toegang te krijgen tot bronnen die niet blootgelegd zouden moeten worden. Dit kan technieken omvatten zoals het manipuleren van HTTP-headers of het injecteren van kwaadaardige URL's. Het succes van de exploitatie hangt af van de configuratie van de Drupal-site en de aanwezigheid van kwetsbare interne bronnen. Het ontbreken van een onmiddellijke fix betekent dat sites die niet worden bijgewerkt, kwetsbaar zijn voor dit type aanval.
Organizations and individuals using Drupal Core versions 10.0.0–10.0.2 and 11.0.0 are at risk. This includes websites, applications, and services built on Drupal that rely on the HTTP Client Manager for external communication. Shared hosting environments utilizing these vulnerable Drupal versions are particularly susceptible.
• drupal: Check Drupal core version using drush --version. If the version is within the affected range (10.0.0–10.0.2 or 11.0.0), investigate further.
• drupal: Examine Drupal logs (sites/[site]/logs/drupal.log) for unusual HTTP requests or redirects.
• generic web: Use curl to test for potential URL redirection vulnerabilities. For example: curl -v https://[yourdrupalsite]/path/to/vulnerable/endpoint and examine the response headers.
• generic web: Review access logs for suspicious patterns of requests to internal or unexpected URLs.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CVSS-vector
De oplossing voor CVE-2025-14840 is om de HTTP Client Manager-module bij te werken naar een gepatchte versie. Update specifiek naar versie 9.3.13 of hoger, 10.0.2 of hoger, of 11.0.1 of hoger, afhankelijk van de Drupal-versie die u gebruikt. Drupal heeft deze updates uitgebracht om de kwetsbaarheid aan te pakken. Het wordt aanbevolen om de update in een testomgeving uit te voeren voordat deze in productie wordt toegepast. Controleer bovendien de beveiligingsconfiguraties van uw Drupal-site om ervoor te zorgen dat best practices worden gevolgd, zoals het beperken van de toegang tot gevoelige bronnen en het gebruik van sterke wachtwoorden. Hoewel er geen onmiddellijke workaround is, is het updaten de meest effectieve manier om uw site te beschermen.
Actualice el módulo HTTP Client Manager a la versión 9.3.13 o superior, 10.0.2 o superior, o 11.0.1 o superior. Esto corregirá la vulnerabilidad de comprobación incorrecta de condiciones inusuales o excepcionales que permite la navegación forzada.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een aanval waarbij een aanvaller HTTP-verzoeken manipuleert om toegang te krijgen tot bronnen die normaal gesproken niet beschikbaar zijn.
Het kan een aanvaller in staat stellen om toegang te krijgen tot gevoelige informatie of ongeautoriseerde acties uit te voeren.
Hoewel dit geen oplossing is, controleer dan uw beveiligingsconfiguraties en beperk de toegang tot gevoelige bronnen.
Op de Drupal-website en in het Drupal-modulesrepository.
Ja, kwetsbaarheidsscanners kunnen deze kwetsbaarheid op uw Drupal-site identificeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.