Platform
drupal
Component
drupal
Opgelost in
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31674 beschrijft een Object Injection kwetsbaarheid in Drupal Core. Deze kwetsbaarheid stelt aanvallers in staat om dynamisch bepaalde objectattributen onjuist te wijzigen, wat kan leiden tot onbedoelde acties en potentieel compromittering van de applicatie. De kwetsbaarheid treft Drupal core versies 8.0.0 en eerder, 10.4.0 en eerder, 11.0.0 en eerder, en 11.1.0 en eerder. Een beveiligingsupdate is beschikbaar in versie 10.3.13.
CVE-2025-31674 is een objectinjectie kwetsbaarheid in Drupal core die een aanvaller in staat stelt dynamisch bepaalde objectattributen ongecontroleerd te wijzigen. Dit kan leiden tot remote code execution, privilege escalatie of denial of service, afhankelijk van hoe de injectie wordt gebruikt. De kwetsbaarheid treft Drupal core versies van 8.0.0 tot 10.3.12, 10.4.0 tot 10.4.2, 11.0.0 tot 11.0.11 en 11.1.0 tot 11.1.2. De ernst van deze kwetsbaarheid is hoog, aangezien een aanvaller deze mogelijk kan uitbuiten zonder authenticatie in veel gevallen. Objectinjectie is een kritieke kwetsbaarheid die onmiddellijke aandacht vereist om beveiligingsinbreuken te voorkomen.
De kwetsbaarheid wordt uitgebuit door de manipulatie van dynamisch bepaalde objectattributen. Een aanvaller kan kwaadaardige code injecteren in de attributen van een object, die vervolgens door Drupal wordt uitgevoerd. Het ontbreken van adequate inputvalidatie stelt aanvallers in staat om de waarden van deze attributen te controleren. De exploitatiecontext hangt af van de specifieke configuratie van de Drupal site en de geïnstalleerde modules. Een diepgaand begrip van de interne werking van Drupal is vereist om deze kwetsbaarheid effectief te kunnen uitbuiten. Het ontbreken van vereiste authenticatie in sommige gevallen vergemakkelijkt de uitbuiting, waardoor het risico voor kwetsbare websites toeneemt.
Exploit Status
EPSS
1.04% (77% percentiel)
De primaire mitigatie voor CVE-2025-31674 is het updaten van Drupal core naar versie 10.3.13, 10.4.3, 11.0.12 of 11.1.3, respectievelijk. Deze versies bevatten de noodzakelijke patches om de kwetsbaarheid te verhelpen. Bovendien wordt aanbevolen om geïnstalleerde third-party modules te controleren om ervoor te zorgen dat deze ook up-to-date zijn en geen nieuwe kwetsbaarheden introduceren. Het implementeren van goede beveiligingspraktijken, zoals inputvalidatie en data sanitatie, kan ook helpen het risico op uitbuiting te verminderen. Het monitoren van serverlogs op verdachte activiteiten is cruciaal om potentiële aanvallen te detecteren en erop te reageren. Regelmatige beveiligingsaudits van de Drupal site kunnen helpen om kwetsbaarheden te identificeren en te verhelpen voordat ze worden uitgebuit.
Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.3.13 o superior, 10.4.3 o superior, 11.0.12 o superior, o 11.1.3 o superior, dependiendo de la rama de Drupal que esté utilizando. Esto solucionará la vulnerabilidad de inyección de objetos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Objectinjectie is een kwetsbaarheid die een aanvaller in staat stelt de attributen van objecten in een programma te manipuleren, wat mogelijk kan leiden tot de uitvoering van kwaadaardige code.
Als uw Drupal site een kwetsbare versie gebruikt, kan een aanvaller kwaadaardige code op uw server uitvoeren, waardoor de beveiliging van uw site en uw gegevens wordt aangetast.
Als u niet onmiddellijk kunt updaten, overweeg dan tijdelijke mitigatiemaatregelen te implementeren, zoals het beperken van de toegang tot bepaalde delen van de site en het monitoren van serverlogs.
Er zijn vulnerability scanners die CVE-2025-31674 kunnen detecteren. U kunt ook de serverlogs controleren op verdachte activiteiten.
U kunt meer informatie over CVE-2025-31674 vinden op de website van de National Vulnerability Database (NVD) en in de Drupal-documentatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.