Plataforma
drupal
Componente
drupal
Corrigido em
10.4.9
10.5.6
11.1.9
11.2.8
7.103.1
10.4.9
A vulnerabilidade CVE-2025-13083 afeta o Drupal Core, permitindo a exploração de níveis de segurança de acesso incorretamente configurados, resultando na exposição de informações sensíveis armazenadas no cache do navegador web. Essa falha impacta as versões do Drupal Core anteriores a 10.4.9, incluindo versões 8.0.0 até 10.5.6 e 11.0.0 até 11.2.8. Uma correção de segurança foi lançada na versão 10.4.9.
A vulnerabilidade CVE-2025-13083 no Drupal core afeta a forma como os níveis de segurança de acesso são gerenciados e o uso do cache do navegador web. Um atacante pode explorar controles de acesso incorretamente configurados para acessar informações confidenciais armazenadas no cache do navegador. Isso é particularmente preocupante se o cache contiver dados confidenciais, pois eles podem ser expostos a usuários não autorizados. A vulnerabilidade afeta o Drupal core nas versões de 8.0.0 anteriores a 10.4.9, de 10.5.0 anteriores a 10.5.6, de 11.0.0 anteriores a 11.1.9, de 11.2.0 anteriores a 11.2.8 e de 7.0 anteriores a 7.103. A gravidade da vulnerabilidade reside no potencial vazamento de dados confidenciais e na relativa facilidade com que pode ser explorada se as configurações de acesso não forem implementadas corretamente.
A exploração desta vulnerabilidade requer que um atacante seja capaz de manipular as solicitações HTTP para acessar recursos protegidos. Isso pode ser alcançado injetando código malicioso em URLs ou manipulando cookies de sessão. O atacante também deve ser capaz de influenciar o comportamento do cache do navegador para armazenar informações confidenciais. O sucesso da exploração depende da configuração específica do Drupal e da presença de informações confidenciais no cache do navegador. A complexidade da exploração varia dependendo da configuração do site Drupal e das medidas de segurança implementadas.
Organizations and individuals using Drupal Core for websites or applications that handle sensitive data, particularly those running versions prior to 10.4.9. Sites with complex access control configurations or those relying heavily on browser caching are at higher risk.
• drupal: Check Drupal core version using drush --version.
• drupal: Review access control configurations for any inconsistencies or overly permissive settings.
• generic web: Monitor web server access logs for unusual requests targeting cached resources.
• generic web: Use browser developer tools to inspect cached resources and verify that sensitive data is not exposed.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
Vetor CVSS
A solução para mitigar o CVE-2025-13083 é atualizar o Drupal para uma versão corrigida. Especificamente, recomenda-se atualizar para a versão 10.4.9 ou superior, 10.5.6 ou superior, 11.1.9 ou superior, 11.2.8 ou superior ou 7.103 ou superior. Além da atualização, recomenda-se revisar e fortalecer as configurações de acesso a recursos sensíveis dentro do Drupal. Isso inclui garantir que os controles de acesso estejam corretamente definidos e que apenas usuários autorizados tenham acesso a informações confidenciais. É crucial implementar políticas de cache apropriadas para evitar que informações confidenciais sejam armazenadas no cache do navegador por períodos prolongados. Finalmente, auditorias de segurança periódicas podem ajudar a identificar e corrigir possíveis configurações incorretas.
Actualice Drupal core a la última versión disponible. Para las versiones 7.x, actualice a la versión 7.103 o superior. Para las versiones 8.x a 10.4.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões afetadas são Drupal 8.0.0 anteriores a 10.4.9, 10.5.0 anteriores a 10.5.6, 11.0.0 anteriores a 11.1.9, 11.2.0 anteriores a 11.2.8 e 7.0 anteriores a 7.103.
Você pode verificar a versão do Drupal na página de status do site ou através da interface de administração.
Se não puder atualizar imediatamente, considere implementar medidas de mitigação, como fortalecer os controles de acesso e revisar a configuração do cache.
Existem módulos de segurança para Drupal que podem ajudar a identificar configurações incorretas e vulnerabilidades.
Você pode encontrar mais informações no site do Drupal e em bancos de dados de vulnerabilidades como o NIST NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.