No módulo de Internacionalização (i18n) do Drupal 7, o submódulo i18n_node permite que um usuário com ambas as permissões "Traduzir conteúdo" e "Administrar traduções de conteúdo" visualize e anexe nós não publicados através da interface de tradução e seu widget de autocomplete. Isso ignora os controles de acesso pretendidos e expõe títulos e IDs de nós não publicados. O exploit afeta as versões 7.x-1.0 até e incluindo 7.x-1.35.

A vulnerabilidade CVE-2026-0748 no módulo de Internacionalização (i18n) do Drupal 7 permite que usuários com as permissões de "Traduzir conteúdo" e "Administrar traduções de conteúdo" visualizem e anexem nós não publicados através da interface de tradução e seu widget de autocompletar. Isso ignora os controles de acesso pretendidos, expondo os títulos e IDs de nós não publicados. Essa vulnerabilidade representa um risco significativo para sites Drupal 7, especialmente aqueles que lidam com informações confidenciais ou sensíveis antes da publicação. A capacidade de acessar conteúdo não publicado pode levar a violações de dados e comprometer a integridade do site. A natureza relativamente comum das permissões necessárias aumenta a probabilidade de exploração. A exposição de IDs de nós pode facilitar ataques adicionais a outros componentes do site. A falta de uma correção direta (fix: none) exige esforços imediatos de mitigação para proteger sites vulneráveis.

Websites running Drupal 7 with the Internationalization (i18n) module installed are at risk. Specifically, sites where users have been granted both "Translate content" and "Administer content translations" permissions are particularly vulnerable, even if those users are not typically involved in content creation.

• wordpress / composer / npm:

grep -r "i18n_node_autocomplete" /var/www/drupal7/

• generic web:

curl -I http://your-drupal-site.com/admin/config/regional/i18n-node

• generic web: Check Drupal logs for unusual activity related to node translations or access attempts by users with 'Translate content' and 'Administer content translations' permissions.

1. 2026-03-26Disclosure

   disclosure

1. Reservado2026-01-08
2. Publicada2026-03-26
3. Modificada2026-04-01
4. EPSS atualizado2026-04-03

Dada a ausência de uma correção oficial (fix: none), a mitigação de CVE-2026-0748 requer uma abordagem cuidadosa. A recomendação principal é restringir estritamente as permissões de "Traduzir conteúdo" e "Administrar traduções de conteúdo" ao mínimo absolutamente necessário. Realize uma auditoria completa das permissões para identificar e corrigir configurações incorretas. Considere desabilitar o módulo i18n se ele não for essencial para a funcionalidade do site. Monitore ativamente os logs do site em busca de atividades suspeitas relacionadas à interface de tradução. Implementar o princípio do menor privilégio é a melhor defesa disponível até que uma solução alternativa seja encontrada. A atualização para uma versão mais recente do Drupal (além de 7.x) é a solução a longo prazo mais segura, mas requer planejamento e execução cuidadosos.