Plataforma
drupal
Componente
drupal
Corrigido em
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31673 is an Incorrect Authorization vulnerability within Drupal core that enables Forceful Browsing. This flaw could allow unauthorized access to certain resources. This affects Drupal core versions from 8.0.0 before 10.3.13, from 10.4.0 before 10.4.3, from 11.0.0 before 11.0.12, and from 11.1.0 before 11.1.3. The vulnerability is fixed in version 10.3.13.
A vulnerabilidade CVE-2025-31673 no Drupal Core, classificada com um CVSS de 4.6, permite a navegação forçada (Forceful Browsing) devido a uma autorização incorreta. Isso significa que um atacante pode acessar informações sensíveis ou realizar ações não autorizadas no site Drupal sem as credenciais adequadas. A vulnerabilidade afeta várias versões do Drupal Core: da 8.0.0 até a 10.3.12, da 10.4.0 até a 10.4.2, da 11.0.0 até a 11.0.11 e da 11.1.0 até a 11.1.2. O risco é moderado, mas a facilidade de exploração pode levar a um impacto significativo se não for corrigido a tempo. A navegação forçada pode revelar dados internos, caminhos de arquivos e, potencialmente, informações de configuração do sistema.
A navegação forçada ocorre quando um atacante pode acessar páginas ou recursos dentro de um site sem a autorização adequada. No caso do Drupal, isso pode envolver o acesso a arquivos de configuração, páginas de administração ou dados sensíveis por meio da manipulação de URLs ou parâmetros de solicitação. Um atacante pode usar ferramentas de escaneamento automatizadas para identificar pontos fracos na autorização e explorar a vulnerabilidade. O sucesso da exploração depende da configuração específica do site Drupal e das medidas de segurança implementadas. A falta de uma validação adequada das permissões em certas rotas é a principal causa desta vulnerabilidade.
Status do Exploit
EPSS
0.28% (percentil 51%)
Vetor CVSS
A solução para mitigar esta vulnerabilidade é atualizar o Drupal Core para a versão mais recente disponível: 10.3.13, 10.4.3, 11.0.12 ou 11.1.3, dependendo da versão que você está utilizando. É crucial aplicar esta atualização o mais rápido possível para proteger seu site de possíveis ataques. Além disso, recomenda-se revisar as configurações de permissões de usuário e funções para garantir que apenas os usuários autorizados tenham acesso às áreas sensíveis do site. Realizar auditorias de segurança periódicas também pode ajudar a identificar e corrigir outras possíveis vulnerabilidades. A atualização é a medida mais eficaz e direta para eliminar esta ameaça.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.3 o superior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma técnica de ataque que permite a um atacante acessar páginas ou recursos sem a autorização adequada.
Drupal 8.0.0 - 10.3.12, 10.4.0 - 10.4.2, 11.0.0 - 11.0.11 e 11.1.0 - 11.1.2.
Acesse o painel de administração do Drupal e verifique a versão na seção de informações do site.
Implemente medidas de segurança adicionais, como reforçar as permissões de usuário e monitorar o site em busca de atividade suspeita.
Existem scanners de segurança web que podem detectar esta vulnerabilidade, mas a atualização continua sendo a solução mais eficaz.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.