Platform
drupal
Component
drupal
Opgelost in
1.7.0
2.0.2
8.0.1
CVE-2026-4393 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Drupal Automated Logout module. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een geauthenticeerde gebruiker. De kwetsbaarheid treft versies van Drupal Automated Logout tussen 2.0.0 en 8.x-1.7, en is verholpen in versie 2.0.2.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van Drupal Automated Logout, of zelfs tot het manipuleren van gebruikerssessies. Dit kan resulteren in ongewenste automatische uitloggingen, het omzeilen van beveiligingsmaatregelen, of het verkrijgen van toegang tot gevoelige informatie. De impact is afhankelijk van de privileges van de gebruiker waarvan de sessie wordt gekaapt. Een aanvaller kan bijvoorbeeld de automatische uitlogtijd instellen op een zeer lange periode, waardoor gebruikers langer kwetsbaar zijn voor andere aanvallen.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-03-26. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie. Het is aan te raden om de module te patchen om verdere exploitatie te voorkomen.
Websites using Drupal with the Automated Logout module installed, particularly those running vulnerable versions (2.0.0–8.x-1.7). Sites with less stringent access controls to the Automated Logout configuration are at higher risk.
• drupal / module: Check Drupal module versions for Automated Logout.
drush pm-info --title --core --modules --themes --profiles | grep Automated Logout• drupal / configuration: Review Automated Logout configuration settings for unexpected changes. • generic web: Monitor access logs for suspicious requests targeting Automated Logout endpoints.
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CVSS-vector
De primaire mitigatie is het updaten van de Drupal Automated Logout module naar versie 2.0.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van CSRF-tokens in de module (indien mogelijk) of het beperken van de toegang tot de configuratiepagina's. Controleer ook de webserverconfiguratie om te zorgen voor correcte CSRF-bescherming. Na de upgrade, verifieer de correcte werking van de module door te controleren of de automatische uitlogfunctie correct functioneert en dat er geen ongeautoriseerde wijzigingen zijn aangebracht.
Werk de Automated Logout module bij naar versie 1.7.0 of hoger, of naar versie 2.0.2 of hoger, afhankelijk van uw versiebranch. Dit corrigeert de Cross-Site Request Forgery (CSRF) kwetsbaarheid.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4393 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Drupal Automated Logout module, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
Ja, als u de Drupal Automated Logout module gebruikt in versie 2.0.0–8.x-1.7, dan bent u getroffen door deze kwetsbaarheid.
Update de Drupal Automated Logout module naar versie 2.0.2 of hoger om deze kwetsbaarheid te verhelpen.
Er zijn momenteel geen publiekelijk bekende actieve exploitatiecampagnes, maar het is aan te raden om de module te patchen om verdere exploitatie te voorkomen.
Raadpleeg de Drupal beveiligingsadviespagina voor meer informatie: [https://www.drupal.org/security/advisories/CVE-2026-4393](https://www.drupal.org/security/advisories/CVE-2026-4393)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.