CRITICAL🇬🇧 English

CVE-2025-7393

Brak ograniczenia prób logowania w module Drupal Mail Login (Brute Force)

CVSS 9.8v3.1pub. 2025-07-21upd. 2025-08-27

Moduł Mail Login dla Drupal nie ogranicza prawidłowo liczby prób uwierzytelnienia, co umożliwia ataki brute force. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla każdej witryny opartej na Drupalu korzystającej z tego modułu.

Pokaż oryginał (EN)

Improper Restriction of Excessive Authentication Attempts vulnerability in Drupal Mail Login allows Brute Force.This issue affects Mail Login: from 3.0.0 before 3.2.0, from 4.0.0 before 4.2.0.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-307 polega na braku właściwego mechanizmu blokowania lub ograniczania kolejnych prób logowania po określonej liczbie nieudanych uwierzytelnień. Atakujący może bez przeszkód wysyłać nieograniczoną liczbę żądań logowania przez sieć (wektor AV:N), bez konieczności posiadania jakichkolwiek uprawnień i bez interakcji użytkownika. Pozwala to na automatyczne i masowe testowanie kombinacji haseł w celu przejęcia konta użytkownika.

Skutki

Skuteczny atak brute force może doprowadzić do przejęcia kont użytkowników, w tym kont administracyjnych, co skutkuje pełną utratą poufności, integralności i dostępności aplikacji.

Mitygacja

Należy zaktualizować moduł Mail Login do wersji 3.2.0 lub wyższej (dla gałęzi 3.x) albo do wersji 4.2.0 lub wyższej (dla gałęzi 4.x). Szczegóły dostępne w komunikacie bezpieczeństwa Drupal: https://www.drupal.org/sa-contrib-2025-088

Kogo dotyczy

Moduł Mqanneh Mail Login dla Drupal w wersjach od 3.0.0 do 3.2.0 (z wyłączeniem) oraz od 4.0.0 do 4.2.0 (z wyłączeniem).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mqanneh Mail Login

    APP
    Mqanneh
    3.0.0 – 3.2.0 (bez)4.0.0 – 4.2.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje