Plataforma
drupal
Componente
drupal
Corrigido em
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
A vulnerabilidade CVE-2024-12393 no Drupal Core envolve a falta de sanitização adequada em mensagens de status, permitindo a injeção de scripts (XSS). Ela afeta as versões 8.8.0 a 10.3.9, e 11.0.0 a 11.0.8. A correção está disponível na versão 10.2.11, que deve ser aplicada para mitigar o risco de ataques XSS.
A vulnerabilidade CVE-2024-12393 no Drupal Core afeta a forma como as mensagens de status são renderizadas usando JavaScript. Em configurações específicas, essas mensagens não são devidamente higienizadas, o que pode permitir que um atacante injete código JavaScript malicioso. Este código pode ser executado no navegador de um usuário, comprometendo potencialmente a segurança do site. A severidade da vulnerabilidade é classificada como 5.4 na escala CVSS, indicando um risco moderado. As versões afetadas incluem o Drupal Core a partir de 8.8.0 até 10.2.11, 10.3.0 até 10.3.9 e 11.0.0 até 11.0.8. A exploração bem-sucedida pode resultar na execução de código arbitrário, roubo de informações confidenciais ou manipulação do site.
A vulnerabilidade é explorada através da injeção de código JavaScript nas mensagens de status. Um atacante pode conseguir isso manipulando dados que são usados para gerar essas mensagens, aproveitando a falta de higienização adequada. O contexto de exploração depende da configuração específica do site Drupal e das funcionalidades que utilizam mensagens de status renderizadas com JavaScript. A exploração requer que o atacante tenha a capacidade de influenciar os dados usados para gerar as mensagens de status, o que pode ser alcançado através de diversas vulnerabilidades em módulos ou temas personalizados. A execução do código injetado depende da configuração do navegador do usuário e das políticas de segurança do site.
Status do Exploit
EPSS
1.89% (percentil 83%)
Vetor CVSS
A solução recomendada é atualizar o Drupal Core para uma versão corrigida. Especificamente, atualize para a versão 10.2.11 ou superior, 10.3.9 ou superior, ou 11.0.8 ou superior. Essas versões incluem patches que abordam a vulnerabilidade de higienização de JavaScript nas mensagens de status. Se não for possível atualizar imediatamente, considere implementar medidas de mitigação temporárias, como revisar cuidadosamente o código JavaScript personalizado e desativar temporariamente as funções que utilizam mensagens de status renderizadas com JavaScript. É crucial aplicar a atualização o mais rápido possível para minimizar o risco de exploração. Realize testes exaustivos após a atualização para garantir a funcionalidade do site.
Atualize o Drupal Core para a versão mais recente disponível. Para as versões 8.8.x a 10.2.x, atualize para a versão 10.2.11 ou superior. Para as versões 10.3.x, atualize para a versão 10.3.9 ou superior. Para as versões 11.0.x, atualize para a versão 11.0.8 ou superior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Drupal Core a partir de 8.8.0 até 10.2.11, 10.3.0 até 10.3.9 e 11.0.0 até 11.0.8.
Verifique a versão do Drupal Core que você está usando. Se estiver dentro dos intervalos afetados, é provável que seja vulnerável.
A higienização de JavaScript é o processo de limpar e validar o código JavaScript para remover ou neutralizar qualquer código malicioso.
Considere implementar medidas de mitigação temporárias, como revisar o código JavaScript personalizado e desativar temporariamente as funções que utilizam mensagens de status.
O Drupal oferece ferramentas de atualização integradas e módulos de terceiros que podem simplificar o processo de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.