Plataforma
drupal
Componente
drupal
Corrigido em
10.3.14
10.4.5
11.0.13
11.1.5
7.0.1
10.3.14
CVE-2025-31675 é uma vulnerabilidade de Cross-Site Scripting (XSS) no Drupal Core. Essa falha permite que atacantes injetem scripts maliciosos em páginas web, afetando usuários. As versões vulneráveis são de 8.0.0 a 11.1.5. A vulnerabilidade foi corrigida na versão 11.1.5.
A vulnerabilidade CVE-2025-31675 no Drupal Core representa um risco de Cross-Site Scripting (XSS). Isso significa que um atacante pode injetar código malicioso em páginas web de um site Drupal, o qual será executado no navegador dos usuários que visitarem essas páginas. O impacto potencial inclui o roubo de informações sensíveis (como cookies de sessão), redirecionamento de usuários para sites maliciosos ou alteração do conteúdo da página. A vulnerabilidade afeta múltiplas versões do Drupal Core: da 8.0.0 até a 10.3.13, da 10.4.0 até a 10.4.4, da 11.0.0 até a 11.0.12, e da 11.1.0 até a 11.1.4. É crucial atualizar o Drupal Core para uma versão corrigida para mitigar este risco. A falta de neutralização adequada da entrada durante a geração da página web é a causa raiz deste problema, permitindo a injeção de código malicioso.
A vulnerabilidade é explorada através da injeção de código malicioso em campos de entrada que não são devidamente sanitizados antes de serem exibidos na página web. Um atacante pode aproveitar esta vulnerabilidade para inserir scripts maliciosos em formulários, comentários ou qualquer outro campo onde os usuários possam inserir dados. Estes scripts serão executados no navegador do usuário, permitindo ao atacante realizar ações maliciosas. A complexidade da exploração depende da localização específica da vulnerabilidade e da configuração do site Drupal. A falta de validação e escape da entrada do usuário é o fator chave que permite a exploração desta vulnerabilidade XSS.
Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.
• drupal: Check Drupal core version using drush --version.
• drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts.
• generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters.
• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
disclosure
Status do Exploit
EPSS
0.27% (percentil 50%)
Vetor CVSS
A solução principal para mitigar a vulnerabilidade CVE-2025-31675 é atualizar o Drupal Core para a versão 10.3.14 ou superior, 10.4.5 ou superior, 11.0.13 ou superior, ou 11.1.5 ou superior. Essas versões incluem as correções necessárias para prevenir a injeção de código XSS. Além disso, recomenda-se revisar e atualizar quaisquer módulos personalizados ou de terceiros que possam estar interagindo com a entrada do usuário. A implementação de uma Política de Segurança de Conteúdo (CSP) pode fornecer uma camada adicional de proteção, restringindo as fontes de conteúdo que o navegador pode carregar. Monitorar os logs do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. A aplicação destas medidas de segurança ajudará a proteger seu site Drupal da exploração desta vulnerabilidade.
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.14 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.5 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.13 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.5 o superior. Si está utilizando la versión 7.x-1.x, actualice a una versión posterior a 7.x-1.12.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões afetadas são Drupal Core 8.0.0 até 10.3.13, 10.4.0 até 10.4.4, 11.0.0 até 11.0.12, e 11.1.0 até 11.1.4.
Você pode verificar a versão do Drupal Core na página de administração do site, na seção 'Informações do site'.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites web.
CSP é um mecanismo de segurança que permite aos administradores do site web controlar as fontes de conteúdo que o navegador pode carregar, reduzindo o risco de ataques XSS.
Você pode encontrar mais informações sobre a vulnerabilidade CVE-2025-31675 na página de segurança do Drupal: [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.