CVE-2025-10929

Reverse Proxy Header - Less critical - Access bypass - SA-CONTRIB-2025-111

CVSS 5.3 MEDIUMEPSS 0.3%CWE-1288

Em resumo

O módulo Reverse Proxy Header do Drupal não valida adequadamente os cabeçalhos vindos de proxies reversos, permitindo que atacantes manipulem informações de usuário se conseguirem controlar esses cabeçalhos. Isso pode levar a acesso não autorizado ou falsificação de identidade em certas configurações.

Detalhe técnico

A vulnerabilidade decorre da validação insuficiente de cabeçalhos HTTP (CWE-1288) passados através de um proxy reverso, permitindo que atacantes que consigam controlar ou injetar cabeçalhos de proxy manipulem variáveis controladas pelo usuário. Um atacante com acesso à rede para injetar cabeçalhos de proxy reverso pode contornar controles de acesso ou falsificar a identidade do usuário em versões anteriores a 1.1.2.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper Validation of Consistency within Input vulnerability in Drupal Reverse Proxy Header allows Manipulating User-Controlled Variables.This issue affects Reverse Proxy Header: from 0.0.0 before 1.1.2.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Produtos afetados

Drupal · Reverse Proxy Header

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.drupal.org/sa-contrib-2025-111