Platform
drupal
Component
drupal
Opgelost in
7.0.1
In de Drupal 7 Internationalization (i18n) module, specifiek de i18n_node submodule, is een kwetsbaarheid ontdekt waardoor gebruikers met de juiste permissies onbedoeld toegang kunnen krijgen tot en bekijken van onuitgegeven nodes via de vertaalinterface. Deze kwetsbaarheid omzeilt de bedoelde toegangscontroles en onthult de titels en ID's van onuitgegeven nodes. De kwetsbaarheid treft versies 7.x-1.0 tot en met 7.x-1.35.
CVE-2026-0748 in de Internationalisatie (i18n) module van Drupal 7 stelt gebruikers met zowel de permissies 'Content vertalen' als 'Content vertalingen beheren' in staat om ongepubliceerde nodes te bekijken en te koppelen via de vertaal-UI en de autocomplete widget. Dit omzeilt de beoogde toegangscontroles en onthult ongepubliceerde node titels en ID's. Deze kwetsbaarheid vormt een aanzienlijk risico voor Drupal 7 sites, met name diegenen die gevoelige of vertrouwelijke informatie verwerken voordat deze gepubliceerd wordt. De mogelijkheid om toegang te krijgen tot ongepubliceerde content kan leiden tot datalekken en de integriteit van de site in gevaar brengen. De relatief veelvoorkomende aard van de vereiste permissies vergroot de kans op uitbuiting. De blootstelling van node ID's kan verdere aanvallen op andere componenten van de site vergemakkelijken. Het ontbreken van een directe fix (fix: none) vereist onmiddellijke mitigatie-inspanningen om kwetsbare sites te beschermen.
De kwetsbaarheid wordt uitgebuit via de vertaal-UI van de i18n module. Een aanvaller met de vereiste permissies kan de autocomplete widget gebruiken om te zoeken naar en ongepubliceerde nodes te bekijken die normaal gesproken niet toegankelijk zouden zijn. De autocomplete functionaliteit legt de titels en ID's van deze nodes bloot, waardoor de aanvaller vertrouwelijk content kan identificeren. Exploitatie vereist geen geavanceerde technische vaardigheden, waardoor het toegankelijk is voor een breed scala aan aanvallers. Het risico is groter op sites die de i18n module gebruiken om gevoelige of vertrouwelijke content te vertalen. Het ontbreken van een officiële fix betekent dat Drupal 7 sites kwetsbaar blijven totdat effectieve mitigatiemaatregelen worden geïmplementeerd. De combinatie van de permissies 'Content vertalen' en 'Content vertalingen beheren' is cruciaal om deze kwetsbaarheid te exploiteren.
Websites running Drupal 7 with the Internationalization (i18n) module installed are at risk. Specifically, sites where users have been granted both "Translate content" and "Administer content translations" permissions are particularly vulnerable, even if those users are not typically involved in content creation.
• wordpress / composer / npm:
grep -r "i18n_node_autocomplete" /var/www/drupal7/• generic web:
curl -I http://your-drupal-site.com/admin/config/regional/i18n-node• generic web: Check Drupal logs for unusual activity related to node translations or access attempts by users with 'Translate content' and 'Administer content translations' permissions.
disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een officiële fix (fix: none), vereist het verzachten van CVE-2026-0748 een zorgvuldige aanpak. De belangrijkste aanbeveling is om de permissies 'Content vertalen' en 'Content vertalingen beheren' strikt te beperken tot het absolute minimum dat vereist is. Voer een grondige permissie-audit uit om verkeerde configuraties te identificeren en te corrigeren. Overweeg om de i18n module uit te schakelen als deze niet essentieel is voor de functionaliteit van de site. Controleer de site logs actief op verdachte activiteiten met betrekking tot de vertaal-interface. Het toepassen van het principe van minimale privileges is de beste beschikbare verdediging totdat een alternatieve oplossing wordt gevonden. Een upgrade naar een nieuwere versie van Drupal (buiten 7.x) is de veiligste langetermijnoplossing, maar vereist een zorgvuldige planning en uitvoering.
Actualice el módulo Internationalization (i18n) a una versión posterior a 7.x-1.35. Esto corregirá la vulnerabilidad de omisión de acceso en la interfaz de usuario de traducción i18n_node.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het betekent dat er momenteel geen officiële patch of update beschikbaar is om deze kwetsbaarheid te verhelpen.
Drupal 7 heeft het einde van zijn levensduur bereikt. Hoewel deze kwetsbaarheid kan worden gemitigeerd, is een upgrade naar een nieuwere versie van Drupal de beste optie.
De permissies 'Content vertalen' en 'Content vertalingen beheren' zijn vereist.
Als u de i18n module in Drupal 7 gebruikt en gebruikers heeft met de genoemde permissies, is uw site waarschijnlijk kwetsbaar.
Beperk de permissies 'Content vertalen' en 'Content vertalingen beheren' tot het minimum dat nodig is en controleer de site logs.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.