Plataforma
drupal
Componente
drupal
Corrigido em
9.3.6
9.2.13
9.2.13
9.2.13
A vulnerabilidade CVE-2022-25270 no Drupal Core, versões ≤9.3.5, afeta o módulo Quick Edit. A falha permite que usuários com permissão de edição visualizem conteúdo não autorizado. A correção está disponível na versão 9.3.6 do Drupal. A atualização é recomendada para mitigar o risco.
A vulnerabilidade CVE-2022-25270 afeta o módulo Quick Edit no Core, permitindo que usuários com a permissão 'acesso à edição in-place' visualizem conteúdo ao qual não deveriam ter acesso. Isso ocorre devido a uma verificação inadequada de acesso às entidades em determinadas circunstâncias. O risco é considerado moderado (CVSS 6.5). Sites são afetados apenas se o módulo Quick Edit (que vem com o perfil Standard) estiver instalado. A exposição de informações confidenciais, embora limitada, pode comprometer a integridade dos dados e a segurança do site. A gravidade do impacto depende da sensibilidade do conteúdo acessível sem autorização.
Um atacante com a permissão 'acesso à edição in-place' pode explorar esta vulnerabilidade para visualizar conteúdo ao qual normalmente não teria acesso. Isso pode incluir informações confidenciais, como dados pessoais de usuários, informações financeiras ou conteúdo restrito. A exploração requer que o módulo Quick Edit esteja instalado e que o atacante possua a permissão mencionada. O ataque não requer autenticação adicional além da permissão já existente, facilitando sua execução. A complexidade da exploração é baixa, pois não é necessário conhecimento técnico avançado para realizá-la.
Sites utilizing the Drupal Standard profile with the Quick Edit module enabled are specifically at risk. Organizations relying on Drupal for content management and with strict access control requirements should prioritize patching. Shared hosting environments using Drupal Standard are also particularly vulnerable due to the pre-installed Quick Edit module.
• drupal: Check Drupal core version using drush --version. If ≤9.3.5, the system is potentially vulnerable.
• drupal: Verify Quick Edit module is enabled using drush en quickedit. Disable if not required.
• drupal: Review user roles and permissions to ensure only authorized users have 'access in-place editing'.
• generic web: Monitor Drupal logs (typically in /var/log/apache2/error.log or similar) for unusual access patterns or errors related to Quick Edit.
disclosure
Status do Exploit
EPSS
0.25% (percentil 49%)
Vetor CVSS
A solução recomendada é atualizar o Core para a versão 9.3.6 ou superior. Esta atualização corrige a validação de permissões no módulo Quick Edit, prevenindo o acesso não autorizado ao conteúdo. Se não for possível atualizar imediatamente, revise cuidadosamente as permissões dos usuários e restrinja o acesso à edição in-place apenas àqueles que realmente precisam. Além disso, monitore os logs do site em busca de atividades suspeitas que possam indicar a exploração desta vulnerabilidade. A aplicação regular de patches de segurança é uma prática fundamental para manter a segurança de qualquer sistema.
Atualize o Drupal Core para a versão 9.3.6 ou 9.2.13, ou uma versão posterior. Isso corrigirá a vulnerabilidade no módulo Quick Edit.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um módulo do Core que permite editar conteúdo diretamente na página, sem a necessidade de acessar o editor completo.
Se você tiver o módulo Quick Edit instalado (que vem com o perfil Standard), seu site é potencialmente vulnerável. Verifique a versão do Core que você está usando.
Revise as permissões dos usuários e restrinja o acesso à edição in-place apenas àqueles que precisam. Monitore os logs do site.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas a revisão manual das permissões e a verificação da versão do Core são suficientes.
Qualquer conteúdo ao qual o usuário não deveria ter acesso, como dados pessoais, informações financeiras ou conteúdo restrito.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.