Plataforma
drupal
Componente
core
Corrigido em
9.3.19
9.4.3
A vulnerabilidade CVE-2022-25276 é uma falha de Cross-Site Scripting (XSS) no Drupal Core. Ela ocorre devido à validação inadequada do domínio iframe na rota Media oEmbed, permitindo a exibição de conteúdo malicioso no contexto do domínio principal. Isso pode levar ao roubo de cookies e outras vulnerabilidades. Afeta versões do Drupal Core anteriores ou iguais à 9.3.9. A correção foi implementada na versão 9.3.19.
A vulnerabilidade CVE-2022-25276 no Drupal Core afeta a rota do iframe oEmbed no módulo Media. A falha reside na validação inadequada da configuração do domínio do iframe, permitindo que os embeds sejam exibidos no contexto do domínio principal. Isso abre a porta para potenciais ataques de Cross-Site Scripting (XSS), roubo de cookies e outras vulnerabilidades de segurança. O risco é particularmente alto em sites que utilizam amplamente embeds de terceiros, pois um atacante poderia explorar essa fraqueza para injetar código malicioso em páginas protegidas, comprometendo a segurança dos usuários e a integridade do site. É crucial atualizar o Drupal para a versão 9.3.19 ou superior para mitigar este risco. O Drupal 7 não é afetado, pois não inclui o módulo Media.
Um atacante poderia explorar esta vulnerabilidade criando um iframe oEmbed malicioso que aponta para um domínio não confiável. Se o site Drupal não validar corretamente o domínio do iframe, o conteúdo malicioso será carregado no contexto do domínio principal, permitindo que o atacante execute código JavaScript arbitrário no navegador do usuário. Isso poderia ser usado para roubar cookies de sessão, redirecionar os usuários para sites maliciosos ou até mesmo modificar o conteúdo do site. A probabilidade de exploração depende da configuração do site e da presença de módulos ou código personalizado que possam interagir com o módulo Media.
Status do Exploit
EPSS
1.26% (percentil 79%)
Vetor CVSS
A solução principal para abordar a vulnerabilidade CVE-2022-25276 é atualizar o Drupal Core para a versão 9.3.19 ou posterior. Esta atualização inclui as correções necessárias para validar corretamente o domínio do iframe oEmbed. Além disso, recomenda-se revisar e atualizar qualquer módulo personalizado que utilize o módulo Media e suas funções de oEmbed. Implementar uma política de segurança de conteúdo (CSP) pode fornecer uma camada adicional de proteção ao restringir as fontes de conteúdo que podem ser carregadas no site. Monitorar os registros do site em busca de atividades suspeitas também é uma prática recomendada para detectar e responder a possíveis tentativas de exploração.
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Não, o Drupal 7 não é afetado porque não inclui o módulo Media.
Enquanto não puder atualizar, considere implementar uma política de segurança de conteúdo (CSP) para mitigar o risco.
oEmbed é um protocolo que permite incorporar conteúdo de sites externos em seu site Drupal.
Você pode verificar a versão do Drupal na página de administração do site, na seção 'Informações do site'.
Sim, existem várias ferramentas de digitalização de vulnerabilidades para Drupal, tanto gratuitas quanto pagas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.