Plataforma
drupal
Componente
drupal
Corrigido em
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
A vulnerabilidade CVE-2025-3057 é uma falha de Cross-Site Scripting (XSS) identificada no Drupal Core, que permite a injeção de scripts maliciosos em páginas web. Essa falha pode levar à execução de código arbitrário no navegador de um usuário, comprometendo a segurança da aplicação e dos dados. As versões afetadas incluem Drupal Core 8.0.0 até 10.3.12, 10.4.0 até 10.4.2, 11.0.0 até 11.0.11 e 11.1.0 até 11.1.2. Uma correção foi lançada na versão 10.3.13.
A vulnerabilidade CVE-2025-3057 no Drupal Core representa um risco de Cross-Site Scripting (XSS). Isso significa que um atacante pode injetar código malicioso em páginas web do Drupal, que será executado nos navegadores dos usuários que visitarem essas páginas. O impacto pode variar desde o roubo de cookies de sessão e o redirecionamento para sites maliciosos, até a modificação do conteúdo da página web. A vulnerabilidade afeta múltiplas versões do Drupal Core, incluindo as versões 8.0.0 até 10.3.13, 10.4.0 até 10.4.3, 11.0.0 até 11.0.12 e 11.1.0 até 11.1.3. A gravidade da vulnerabilidade é classificada como 6.1 na escala CVSS, o que indica um risco moderado. É crucial atualizar o Drupal para a versão corrigida para mitigar este risco.
A vulnerabilidade ocorre devido à neutralização inadequada da entrada durante a geração de páginas web. Um atacante pode aproveitar esta vulnerabilidade injetando código JavaScript malicioso através de campos de entrada que não são devidamente higienizados. Este código será executado no navegador do usuário, permitindo que o atacante realize diversas ações maliciosas. O contexto de exploração depende da configuração específica do site Drupal e dos campos de entrada vulneráveis. A falta de validação e escape adequados da entrada do usuário é a causa raiz desta vulnerabilidade. Os administradores de sites Drupal devem estar cientes desta vulnerabilidade e tomar medidas para proteger seus sites web.
Status do Exploit
EPSS
0.35% (percentil 57%)
Vetor CVSS
A solução para CVE-2025-3057 é atualizar o Drupal Core para uma versão que inclua a correção. Especificamente, recomenda-se atualizar para a versão 10.3.13 ou superior, 10.4.3 ou superior, 11.0.12 ou superior, ou 11.1.3 ou superior. Além da atualização, recomenda-se rever o código personalizado para identificar e corrigir qualquer vulnerabilidade XSS potencial. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de ataques XSS, mesmo que a aplicação não esteja totalmente corrigida. Monitorar os logs do servidor em busca de atividade suspeita também é uma boa prática de segurança. A atualização deve ser realizada o mais rápido possível para minimizar a janela de oportunidade para os atacantes.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1, actualice a la versión 11.1.3 o superior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões afetadas são Drupal Core 8.0.0 até 10.3.13, 10.4.0 até 10.4.3, 11.0.0 até 11.0.12 e 11.1.0 até 11.1.3.
Você pode verificar a versão do Drupal na página de administração do site, na seção 'Informações do site'.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
CSP (Content Security Policy) é um mecanismo de segurança que permite que os administradores de sites web controlem os recursos que o navegador pode carregar para uma página web.
Você pode encontrar mais informações no site do Drupal e em bancos de dados de vulnerabilidades como o CVE.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.