Plataforma
drupal
Componente
drupal
Corrigido em
10.1.5
10.0.12
9.5.12
9.5.11
9.5.11
9.5.11
A vulnerabilidade CVE-2023-5256 permite a escalada de privilégios no Drupal Core devido à exposição de informações sensíveis através do módulo JSON:API em certas configurações. Isso pode levar usuários anônimos a acessarem dados protegidos. Afeta versões do Drupal Core ≤9.5.9 com o módulo JSON:API habilitado. A correção foi lançada na versão 9.5.11.
A vulnerabilidade CVE-2023-5256 no Drupal afeta o módulo JSON:API, permitindo que, em certos cenários, rastreamentos de erro (backtraces) sejam exibidos. Com algumas configurações, isso pode causar que informações sensíveis sejam armazenadas em cache e disponibilizadas para usuários anônimos, levando à escalada de privilégios. O impacto é significativo, com uma pontuação CVSS de 9.5, indicando um risco crítico. É crucial entender que esta vulnerabilidade não afeta os módulos REST principais do Drupal nem os módulos GraphQL contribuídos. A exposição de informações sensíveis em um ambiente de produção pode comprometer a segurança da aplicação e os dados dos usuários.
A exploração desta vulnerabilidade requer que o módulo JSON:API esteja habilitado e que existam certas configurações que permitam o armazenamento em cache dos rastreamentos de erro. Um atacante poderia acionar um erro no módulo JSON:API, o que provocaria a geração de um rastreamento de erro que contém informações sensíveis. Se este rastreamento de erro for armazenado em cache e servido a usuários anônimos, o atacante poderia obter acesso a informações confidenciais, como caminhos de arquivos, nomes de bancos de dados ou até mesmo código fonte. A probabilidade de exploração depende da configuração específica do site e da presença de erros no módulo JSON:API.
Status do Exploit
EPSS
1.29% (percentil 80%)
A solução mais direta para mitigar esta vulnerabilidade é desinstalar o módulo JSON:API. Se o módulo for essencial para a funcionalidade do site, recomenda-se atualizar para a versão 9.5.11 ou superior, que inclui a correção. É importante fazer um backup completo do site antes de qualquer atualização ou desinstalação de módulos. Além disso, recomenda-se revisar a configuração do site para garantir que não existam outras configurações que possam aumentar o risco de exposição de informações sensíveis. A atualização oportuna e a aplicação de boas práticas de segurança são fundamentais para proteger o site Drupal.
Desinstale el módulo JSON:API para mitigar la vulnerabilidad. Alternativamente, actualice Drupal Core a la última versión disponible que contenga la corrección para este problema. Consulte el anuncio de seguridad de Drupal para obtener más detalles y parches.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Não, afeta apenas os sites que têm o módulo JSON:API habilitado.
Atualize para a versão 9.5.11 ou superior do módulo.
Se você tem o módulo JSON:API habilitado, é provável que seja vulnerável. Realize testes de penetração ou consulte um especialista em segurança Drupal.
Existem scanners de vulnerabilidades que podem detectar esta vulnerabilidade, mas é importante realizar testes manuais para confirmar a presença da vulnerabilidade.
Caminhos de arquivos, nomes de bancos de dados, código fonte e outras informações confidenciais que se encontram nos rastreamentos de erro.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.