Platform
drupal
Component
drupal
Opgelost in
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-3057 is een Cross-Site Scripting (XSS) kwetsbaarheid in Drupal Core. Deze kwetsbaarheid stelt aanvallers in staat om potentieel schadelijke scripts uit te voeren binnen de context van een gebruikerssessie, wat kan leiden tot gegevensdiefstal of misbruik van de applicatie. De kwetsbaarheid treft Drupal core versies 8.0.0 en eerder, evenals versies 10.4.0, 11.0.0 en 11.1.0. Een beveiligingsupdate is beschikbaar om dit probleem te verhelpen.
CVE-2025-3057 in Drupal Core vormt een Cross-Site Scripting (XSS) kwetsbaarheid. Dit betekent dat een aanvaller kwaadaardige code in Drupal webpagina's kan injecteren, die vervolgens wordt uitgevoerd in de browsers van gebruikers die deze pagina's bezoeken. De impact kan variëren van het stelen van sessiecookies en het doorverwijzen van gebruikers naar kwaadaardige websites, tot het wijzigen van de inhoud van de webpagina. Deze kwetsbaarheid treft meerdere versies van Drupal Core, waaronder versies 8.0.0 vóór 10.3.13, 10.4.0 vóór 10.4.3, 11.0.0 vóór 11.0.12 en 11.1.0 vóór 11.1.3. De kwetsbaarheid wordt beoordeeld als 6.1 op de CVSS-schaal, wat een matig risico aangeeft. Het is cruciaal om Drupal te updaten naar de gepatchte versie om dit risico te beperken.
De kwetsbaarheid ontstaat door een onjuiste neutralisatie van invoer tijdens het genereren van webpagina's. Een aanvaller kan dit uitbuiten door kwaadaardige JavaScript-code te injecteren via invoervelden die niet correct worden gesanitiseerd. Deze code wordt uitgevoerd in de browser van de gebruiker, waardoor de aanvaller verschillende kwaadaardige acties kan uitvoeren. De exploitatiecontext is afhankelijk van de specifieke Drupal-siteconfiguratie en de kwetsbare invoervelden. Het ontbreken van een goede validatie en escaping van gebruikersinvoer is de hoofdoorzaak van deze kwetsbaarheid. Drupal-sitebeheerders moeten zich bewust zijn van deze kwetsbaarheid en maatregelen nemen om hun websites te beschermen.
Exploit Status
EPSS
0.35% (57% percentiel)
CVSS-vector
De oplossing voor CVE-2025-3057 is om Drupal Core te updaten naar een versie die de correctie bevat. Update specifiek naar versie 10.3.13 of hoger, 10.4.3 of hoger, 11.0.12 of hoger, of 11.1.3 of hoger. Naast het updaten, controleer aangepaste code om potentiële XSS-kwetsbaarheden te identificeren en te corrigeren. Het implementeren van Content Security Policies (CSP) kan helpen de impact van XSS-aanvallen te beperken, zelfs als de applicatie niet volledig is gepatcht. Het monitoren van serverlogs op verdachte activiteiten is ook een goede beveiligingspraktijk. De update moet zo snel mogelijk worden uitgevoerd om de aanvalswindow voor aanvallers te minimaliseren.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1, actualice a la versión 11.1.3 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Getroffen versies zijn Drupal Core 8.0.0 vóór 10.3.13, 10.4.0 vóór 10.4.3, 11.0.0 vóór 11.0.12 en 11.1.0 vóór 11.1.3.
U kunt de Drupal-versie controleren op de beheerpagina van de site, in het gedeelte 'Site-informatie'.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
CSP (Content Security Policy) is een beveiligingsmechanisme waarmee websitebeheerders de controle kunnen behouden over de bronnen die de browser mag laden voor een webpagina.
U kunt meer informatie vinden op de Drupal-website en in kwetsbaarheidsdatabases zoals CVE.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.