Plataforma
drupal
Componente
drupal
Corrigido em
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31674 describes an Object Injection vulnerability within Drupal Core. This flaw allows for Improperly Controlled Modification of Dynamically-Determined Object Attributes, potentially leading to unauthorized actions or data manipulation. This affects Drupal core versions from 8.0.0 before 10.3.13, 10.4.0 before 10.4.3, 11.0.0 before 11.0.12, and 11.1.0 before 11.1.3. The vulnerability is fixed in version 10.3.13.
CVE-2025-31674 é uma vulnerabilidade de injeção de objetos no Drupal core que permite a um atacante modificar atributos de objetos de forma não controlada. Isso pode levar à execução remota de código, escalada de privilégios ou negação de serviço, dependendo de como a injeção é utilizada. A vulnerabilidade afeta o Drupal core nas versões de 8.0.0 até 10.3.12, 10.4.0 até 10.4.2, 11.0.0 até 11.0.11 e 11.1.0 até 11.1.2. A severidade desta vulnerabilidade é alta, pois um atacante pode ser capaz de explorá-la sem autenticação em muitos casos. A injeção de objetos é uma vulnerabilidade crítica que requer atenção imediata para evitar violações de segurança.
A vulnerabilidade é explorada através da manipulação de atributos de objetos determinados dinamicamente. Um atacante pode injetar código malicioso nos atributos de um objeto, que então seria executado pelo Drupal. A falta de validação adequada de entrada permite que os atacantes controlem os valores desses atributos. O contexto de exploração depende da configuração específica do site Drupal e dos módulos instalados. É necessário um profundo conhecimento do funcionamento interno do Drupal para explorar efetivamente esta vulnerabilidade. A ausência de autenticação obrigatória em alguns casos facilita a exploração, aumentando o risco para sites vulneráveis.
Status do Exploit
EPSS
1.04% (percentil 77%)
A principal mitigação para CVE-2025-31674 é atualizar o Drupal core para a versão 10.3.13, 10.4.3, 11.0.12 ou 11.1.3, respectivamente. Essas versões incluem os patches necessários para resolver a vulnerabilidade. Além disso, recomenda-se revisar os módulos de terceiros instalados para garantir que também estejam atualizados e não introduzam novas vulnerabilidades. A implementação de boas práticas de segurança, como validação de entrada e sanitização de dados, também pode ajudar a reduzir o risco de exploração. Monitorar os logs do servidor em busca de atividade suspeita é crucial para detectar e responder a possíveis ataques. Auditorias de segurança regulares do site Drupal podem ajudar a identificar e corrigir vulnerabilidades antes que sejam exploradas.
Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.3.13 o superior, 10.4.3 o superior, 11.0.12 o superior, o 11.1.3 o superior, dependiendo de la rama de Drupal que esté utilizando. Esto solucionará la vulnerabilidad de inyección de objetos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção de objetos é uma vulnerabilidade que permite a um atacante manipular os atributos de objetos em um programa, levando potencialmente à execução de código malicioso.
Se seu site Drupal estiver usando uma versão vulnerável, um atacante pode executar código malicioso em seu servidor, comprometendo a segurança de seu site e seus dados.
Se você não puder atualizar imediatamente, considere implementar medidas de mitigação temporárias, como restringir o acesso a determinadas áreas do site e monitorar os logs do servidor.
Existem scanners de vulnerabilidade que podem detectar CVE-2025-31674. Você também pode revisar os logs do servidor em busca de atividade suspeita.
Você pode encontrar mais informações sobre CVE-2025-31674 no site do National Vulnerability Database (NVD) e na documentação do Drupal.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.