Platform
drupal
Component
drupal
Opgelost in
10.3.14
10.4.5
11.0.13
11.1.5
7.0.1
10.3.14
CVE-2025-31675 is een Cross-Site Scripting (XSS) kwetsbaarheid in Drupal core. Deze kwetsbaarheid stelt aanvallers in staat om schadelijke scripts uit te voeren in de browsers van gebruikers, wat kan leiden tot diefstal van sessiecookies, omleiding naar kwaadaardige websites of wijziging van de inhoud van de website. De kwetsbaarheid treft Drupal core versies 8.0.0 tot en met 11.1.5. De kwetsbaarheid is verholpen in versie 11.1.5.
CVE-2025-31675 in Drupal Core vormt een Cross-Site Scripting (XSS)-kwetsbaarheid. Dit betekent dat een aanvaller kwaadaardige code in webpagina's van een Drupal-site kan injecteren, die vervolgens in de browsers van gebruikers die deze pagina's bezoeken, wordt uitgevoerd. De potentiële impact omvat het stelen van gevoelige informatie (zoals sessiecookies), het doorverwijzen van gebruikers naar kwaadaardige websites of het wijzigen van de paginainhoud. De kwetsbaarheid treft meerdere versies van Drupal Core: van 8.0.0 vóór 10.3.14, van 10.4.0 vóór 10.4.5, van 11.0.0 vóór 11.0.13 en van 11.1.0 vóór 11.1.5. Het is cruciaal om Drupal Core te updaten naar een gepatchte versie om dit risico te beperken. De hoofdoorzaak van dit probleem is een onjuiste neutralisatie van invoer tijdens het genereren van de webpagina, waardoor het mogelijk wordt om kwaadaardige code te injecteren.
De kwetsbaarheid wordt uitgebuit door het injecteren van kwaadaardige code in invoervelden die niet correct worden gesanitiseerd voordat ze op de webpagina worden weergegeven. Een aanvaller kan deze kwetsbaarheid misbruiken om kwaadaardige scripts in formulieren, commentaren of andere velden in te voegen waar gebruikers gegevens kunnen invoeren. Deze scripts worden in de browser van de gebruiker uitgevoerd, waardoor de aanvaller kwaadaardige acties kan uitvoeren. De complexiteit van de uitbuiting hangt af van de specifieke locatie van de kwetsbaarheid en de configuratie van de Drupal-site. Het ontbreken van validatie en escaping van gebruikersinvoer is de belangrijkste factor die de uitbuiting van deze XSS-kwetsbaarheid mogelijk maakt.
Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.
• drupal: Check Drupal core version using drush --version.
• drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts.
• generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters.
• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
disclosure
Exploit Status
EPSS
0.27% (50% percentiel)
CVSS-vector
De belangrijkste oplossing om CVE-2025-31675 te beperken, is het updaten van Drupal Core naar versie 10.3.14 of hoger, 10.4.5 of hoger, 11.0.13 of hoger of 11.1.5 of hoger. Deze versies bevatten de noodzakelijke fixes om XSS-code-injectie te voorkomen. Controleer en update bovendien alle aangepaste of third-party modules die mogelijk met gebruikersinvoer interageren. Het implementeren van een Content Security Policy (CSP) kan een extra beschermingslaag bieden door de bronnen van de inhoud die de browser kan laden te beperken. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Het toepassen van deze beveiligingsmaatregelen helpt uw Drupal-site te beschermen tegen de uitbuiting van deze kwetsbaarheid.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.14 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.5 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.13 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.5 o superior. Si está utilizando la versión 7.x-1.x, actualice a una versión posterior a 7.x-1.12.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Getroffen versies zijn Drupal Core 8.0.0 vóór 10.3.14, 10.4.0 vóór 10.4.5, 11.0.0 vóór 11.0.13 en 11.1.0 vóór 11.1.5.
U kunt de Drupal Core-versie controleren op de beheerpagina van de site, in het gedeelte 'Site-informatie'.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in websites kunnen injecteren.
CSP is een beveiligingsmechanisme waarmee websitebeheerders de bronnen van de inhoud kunnen beheren die de browser kan laden, waardoor het risico op XSS-aanvallen wordt verminderd.
U kunt meer informatie over CVE-2025-31675 vinden op de Drupal-beveiligingspagina: [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.