Platform
drupal
Component
drupal
Opgelost in
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31673 is an Incorrect Authorization vulnerability within Drupal core that enables Forceful Browsing. This flaw could allow unauthorized access to certain resources. This affects Drupal core versions from 8.0.0 before 10.3.13, from 10.4.0 before 10.4.3, from 11.0.0 before 11.0.12, and from 11.1.0 before 11.1.3. The vulnerability is fixed in version 10.3.13.
CVE-2025-31673 in Drupal Core vertegenwoordigt een Incorrect Authorization kwetsbaarheid, wat resulteert in Forceful Browsing. Dit betekent dat een aanvaller potentieel gevoelige informatie kan benaderen of ongeautoriseerde acties op de Drupal site kan uitvoeren zonder de juiste inloggegevens. De kwetsbaarheid beïnvloedt verschillende Drupal Core versies: van 8.0.0 vóór 10.3.13, van 10.4.0 vóór 10.4.3, van 11.0.0 vóór 11.0.12 en van 11.1.0 vóór 11.1.3. De CVSS score is 4.6, wat een matig risico aangeeft. Een succesvolle exploitatie kan leiden tot datalekken, privilege escalatie of andere kwaadaardige activiteiten. De kern van het probleem ligt in de onvoldoende validatie van gebruikersrechten bij het benaderen van bepaalde resources.
Forceful browsing treedt op wanneer een aanvaller toegang kan krijgen tot pagina's of resources binnen een website zonder de juiste autorisatie. In de context van Drupal kan dit het benaderen van configuratiebestanden, administratiepagina's of gevoelige data inhouden door URL's of request parameters te manipuleren. Aanvallers kunnen geautomatiseerde scan tools gebruiken om zwakheden in de autorisatie te identificeren en de kwetsbaarheid te exploiteren. Het succes van de exploitatie hangt af van de specifieke Drupal site configuratie en de geïmplementeerde beveiligingsmaatregelen. Het ontbreken van adequate permissie validatie op bepaalde routes is de hoofdoorzaak van deze kwetsbaarheid.
Exploit Status
EPSS
0.28% (51% percentiel)
CVSS-vector
De aanbevolen mitigatie is om Drupal Core te updaten naar de nieuwste beschikbare versie: 10.3.13, 10.4.3, 11.0.12 of 11.1.3, afhankelijk van uw huidige versie. Het tijdig toepassen van deze update is cruciaal om uw website te beschermen tegen potentiële aanvallen. Controleer bovendien de gebruikersrechten en rollen om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige delen van de site. Regelmatige beveiligingsaudits kunnen ook helpen bij het identificeren en aanpakken van andere potentiële kwetsbaarheden. De update is de meest effectieve en directe oplossing om deze dreiging te elimineren.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.3 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een aanvalstechniek die een aanvaller in staat stelt om toegang te krijgen tot pagina's of resources zonder de juiste autorisatie.
Drupal 8.0.0 - 10.3.12, 10.4.0 - 10.4.2, 11.0.0 - 11.0.11 en 11.1.0 - 11.1.2.
Ga naar het Drupal admin paneel en controleer de versie in het sectie site informatie.
Implementeer extra beveiligingsmaatregelen, zoals het versterken van gebruikersrechten en het monitoren van de site op verdachte activiteiten.
Web security scanners kunnen deze kwetsbaarheid detecteren, maar het updaten blijft de meest effectieve oplossing.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.