Plataforma
drupal
Componente
drupal
Corrigido em
1.7.0
8.0.1
Uma vulnerabilidade de Forceful Browsing foi descoberta no Drupal, relacionada às permissões de nodos não publicados. Essa falha permite o acesso não autorizado a nodos não publicados, comprometendo a confidencialidade dos dados. A vulnerabilidade afeta versões do Drupal menores ou iguais a 8.x-1.7 e foi corrigida na versão 1.7.0.
A vulnerabilidade CVE-2026-4933 no Drupal, especificamente no módulo 'Unpublished Node Permissions', introduz uma falha de 'Autorização Incorreta' que leva à 'Navegação Forçada'. Isso significa que um atacante, sem a autorização apropriada, pode acessar nós não publicados (páginas, artigos, etc.). Esses nós são destinados a serem visualizados apenas por usuários específicos, como editores ou administradores, durante o processo de criação ou revisão. A falha de autorização ignora essas restrições, expondo potencialmente informações confidenciais ou em andamento para usuários não autorizados. O score CVSS de 7.5 indica um risco alto, exigindo atenção imediata. A vulnerabilidade afeta versões do módulo anteriores a 1.7.0. O impacto pode variar dependendo do conteúdo dos nós não publicados e da sensibilidade das informações que eles contêm. A atualização do módulo é crucial para mitigar este risco.
A exploração desta vulnerabilidade requer conhecimento técnico e acesso ao site Drupal. Um atacante pode usar técnicas de manipulação de URL ou solicitações HTTP para tentar acessar nós não publicados. A complexidade da exploração depende da configuração do site Drupal e das medidas de segurança implementadas. O atacante precisa identificar a estrutura de URL dos nós não publicados e, em seguida, tentar acessá-los diretamente, aproveitando a falha de autorização. A falta de autenticação adequada para acessar esses nós é o principal fator que permite a exploração. Esta vulnerabilidade é particularmente preocupante em ambientes de desenvolvimento ou teste, onde os nós não publicados podem conter informações confidenciais ou incompletas.
Websites using Drupal 8.x with the Unpublished Node Permissions module installed and configured with overly permissive access controls are at significant risk. Sites with a large volume of unpublished content, or those handling sensitive information in drafts, are particularly vulnerable. Shared hosting environments where users have limited control over module versions are also at increased risk.
• drupal:
find /var/www/html/modules -name 'unpublish_node_permissions' -print• drupal:
curl -I http://your-drupal-site.com/node/unpublished-node | grep 'HTTP/1.1 403' # Check for 403 Forbidden on unpublished nodes with proper access controldisclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
Vetor CVSS
A principal mitigação para CVE-2026-4933 é atualizar o módulo 'Unpublished Node Permissions' para a versão 1.7.0 ou superior. Esta atualização corrige a falha de autorização que permite a 'Navegação Forçada'. Antes de atualizar, é fortemente recomendado um backup completo do site Drupal, incluindo o banco de dados e os arquivos do site. Após a atualização, testes completos são essenciais para garantir que a funcionalidade do site permaneça intacta e que a vulnerabilidade seja efetivamente resolvida. Além disso, revise e fortaleça as políticas de permissão de usuário dentro do Drupal, garantindo que apenas usuários autorizados tenham acesso a nós não publicados. Monitore regularmente os logs do servidor em busca de atividades suspeitas também é uma boa prática de segurança.
Actualice el módulo Unpublished Node Permissions a la versión 1.7.0 o superior. Esta versión corrige la vulnerabilidad de autorización incorrecta que permite la navegación forzada de contenido no publicado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
São itens de conteúdo (páginas, artigos, etc.) criados no Drupal, mas não visíveis ao público. Eles são usados para revisão e edição antes da publicação.
Verifique a versão do módulo 'Unpublished Node Permissions'. Se for anterior a 1.7.0, seu site é vulnerável.
Como medida temporária, considere restringir o acesso a nós não publicados a um grupo limitado de usuários autorizados.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas auditorias de segurança manuais são recomendadas.
Indica um risco alto, o que significa que a vulnerabilidade é séria e deve ser tratada com prontidão.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.