Platform
drupal
Component
drupal
Opgelost in
1.7.0
8.0.1
In Drupal is een Incorrect Authorization kwetsbaarheid ontdekt in de Unpublished Node Permissions module, waardoor Forceful Browsing mogelijk is. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot onuitgegeven node informatie. De kwetsbaarheid treft versies van de Unpublished Node Permissions module vóór 1.7.0, inclusief 0.0.0. Een fix is beschikbaar in versie 1.7.0.
CVE-2026-4933 in Drupal, specifiek binnen de module 'Unpublished Node Permissions', introduceert een 'Onjuiste Autorisatie' kwetsbaarheid die leidt tot 'Forceful Browsing'. Dit betekent dat een aanvaller, zonder de juiste autorisatie, niet-gepubliceerde nodes (pagina's, artikelen, etc.) kan benaderen. Deze nodes zijn bedoeld om alleen bekeken te worden door specifieke gebruikers, zoals redacteuren of beheerders, tijdens het creatie- of beoordelingsproces. De autorisatiefout omzeilt deze beperkingen en kan potentieel gevoelige of in-ontwikkeling zijnde informatie aan ongeautoriseerde gebruikers blootstellen. De CVSS score van 7.5 duidt op een hoog risico, wat onmiddellijke aandacht vereist. De kwetsbaarheid treft moduleversies vóór 1.7.0. De impact kan variëren afhankelijk van de inhoud van de niet-gepubliceerde nodes en de gevoeligheid van de informatie die ze bevatten. Het updaten van de module is cruciaal om dit risico te beperken.
Het exploiteren van deze kwetsbaarheid vereist technische kennis en toegang tot de Drupal-website. Een aanvaller kan URL-manipulatie of HTTP-verzoektechnieken gebruiken om te proberen niet-gepubliceerde nodes te benaderen. De complexiteit van de exploitatie hangt af van de Drupal-websiteconfiguratie en de geïmplementeerde beveiligingsmaatregelen. De aanvaller moet de URL-structuur van niet-gepubliceerde nodes identificeren en vervolgens proberen ze rechtstreeks te benaderen, waarbij de autorisatiefout wordt benut. Het ontbreken van de juiste authenticatie voor toegang tot deze nodes is de belangrijkste factor die de exploitatie mogelijk maakt. Deze kwetsbaarheid is vooral zorgwekkend in ontwikkel- of testomgevingen, waar niet-gepubliceerde nodes gevoelige of onvolledige informatie kunnen bevatten.
Websites using Drupal 8.x with the Unpublished Node Permissions module installed and configured with overly permissive access controls are at significant risk. Sites with a large volume of unpublished content, or those handling sensitive information in drafts, are particularly vulnerable. Shared hosting environments where users have limited control over module versions are also at increased risk.
• drupal:
find /var/www/html/modules -name 'unpublish_node_permissions' -print• drupal:
curl -I http://your-drupal-site.com/node/unpublished-node | grep 'HTTP/1.1 403' # Check for 403 Forbidden on unpublished nodes with proper access controldisclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-4933 is het updaten van de module 'Unpublished Node Permissions' naar versie 1.7.0 of hoger. Deze update corrigeert de autorisatiefout die 'Forceful Browsing' mogelijk maakt. Voordat u updateert, wordt ten zeerste aanbevolen om een volledige back-up van de Drupal-website te maken, inclusief de database en de websitebestanden. Na de update is grondige testing essentieel om ervoor te zorgen dat de functionaliteit van de website intact blijft en de kwetsbaarheid effectief is opgelost. Controleer en versterk bovendien de gebruikersrechtenbeleid binnen Drupal, zodat alleen geautoriseerde gebruikers toegang hebben tot niet-gepubliceerde nodes. Regelmatig monitoren van serverlogs op verdachte activiteiten is ook een goede beveiligingspraktijk.
Actualice el módulo Unpublished Node Permissions a la versión 1.7.0 o superior. Esta versión corrige la vulnerabilidad de autorización incorrecta que permite la navegación forzada de contenido no publicado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit zijn inhoudsitems (pagina's, artikelen, etc.) die in Drupal zijn gemaakt, maar niet publiekelijk zichtbaar zijn. Ze worden gebruikt voor beoordeling en bewerking voordat ze worden gepubliceerd.
Controleer de versie van de module 'Unpublished Node Permissions'. Als deze ouder is dan 1.7.0, is uw website kwetsbaar.
Als tijdelijke maatregel, overweeg om de toegang tot niet-gepubliceerde nodes te beperken tot een beperkte groep geautoriseerde gebruikers.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar handmatige beveiligingsaudits worden aanbevolen.
Het duidt op een hoog risico, wat betekent dat de kwetsbaarheid serieus is en onmiddellijk moet worden aangepakt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.