Plataforma
drupal
Componente
drupal
Corrigido em
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
A vulnerabilidade CVE-2025-13081 é classificada como uma falha de Injeção de Objeto no Drupal Core, permitindo a modificação indevida de atributos de objetos dinamicamente determinados. Essa falha pode levar a sérias consequências de segurança, comprometendo a integridade do sistema. As versões afetadas incluem Drupal Core 8.0.0 até 10.4.9, 10.5.0 até 10.5.6, 11.0.0 até 11.1.9 e 11.2.0 até 11.2.8. Uma correção foi disponibilizada na versão 10.4.9.
A vulnerabilidade CVE-2025-13081 no Drupal core representa um risco de injeção de objetos devido à modificação inadequada de atributos de objetos determinados dinamicamente. Isso significa que um atacante pode manipular a forma como o Drupal lida com objetos, potencialmente executando código malicioso ou acessando informações confidenciais. A vulnerabilidade afeta as versões do Drupal core de 8.0.0 até 10.4.8, 10.5.0 até 10.5.5, 11.0.0 até 11.1.8 e 11.2.0 até 11.2.7. A severidade, de acordo com o CVSS, é de 5.9, indicando um risco moderado. A exploração bem-sucedida pode comprometer a integridade e a confidencialidade do site Drupal. É crucial aplicar a atualização de segurança para mitigar este risco.
A exploração desta vulnerabilidade requer que um atacante tenha a capacidade de influenciar os atributos dos objetos que o Drupal está manipulando. Isso pode ser alcançado manipulando dados de entrada, como formulários ou parâmetros de URL. O atacante pode então injetar código malicioso que seja executado no contexto do usuário Drupal com as permissões correspondentes. O impacto potencial varia dependendo das permissões do usuário afetado e da configuração do site. Não se sabe se esta vulnerabilidade foi explorada ativamente na natureza, mas recomenda-se tomar medidas preventivas para evitar possíveis ataques.
Status do Exploit
EPSS
0.20% (percentil 42%)
Vetor CVSS
A solução para CVE-2025-13081 é atualizar o Drupal core para a versão 10.4.9 ou superior, 10.5.6 ou superior, 11.1.9 ou superior ou 11.2.8 ou superior, respectivamente. O Drupal lançou uma atualização de segurança que aborda diretamente esta vulnerabilidade. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente se seu site Drupal lida com informações confidenciais ou recebe um alto volume de tráfego. Além disso, revise os módulos contribuídos para garantir que também estejam atualizados, pois podem ser afetados indiretamente. Faça backup do seu site antes de aplicar qualquer atualização para poder restaurá-lo em caso de problemas.
Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.4.9, 10.5.6, 11.1.9 o 11.2.8, o una versión posterior. Esto solucionará la vulnerabilidad de inyección de objetos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção de objetos é uma vulnerabilidade que permite a um atacante manipular a forma como um aplicativo lida com objetos, potencialmente executando código malicioso.
Se não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como restringir o acesso a áreas sensíveis do site e monitorar os logs do servidor em busca de atividade suspeita.
A vulnerabilidade afeta sites que usam as versões do Drupal core mencionadas. Se você estiver usando uma versão mais recente, já está protegido.
Você pode encontrar mais informações sobre esta vulnerabilidade no site do Drupal e em bancos de dados de vulnerabilidades como o NIST NVD.
Você pode verificar a versão do Drupal que está usando acessando a página de administração do site e procurando informações de versão na seção de informações do site.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.