CVE-2025-10929

Reverse Proxy Header - Less critical - Access bypass - SA-CONTRIB-2025-111

CVSS 5.3 MEDIUMEPSS 0.3%CWE-1288

En resumen

El módulo Reverse Proxy Header de Drupal no valida adecuadamente los encabezados provenientes de servidores proxy inversos, permitiendo que atacantes manipulen información de usuarios si logran controlar esos encabezados. Esto podría permitir acceso no autorizado o suplantación de identidad en ciertas configuraciones.

Detalle técnico

La vulnerabilidad surge de la validación insuficiente de encabezados HTTP (CWE-1288) pasados a través de un proxy inverso, permitiendo que atacantes posicionados para controlar o inyectar encabezados de proxy manipulen variables controladas por el usuario. Un atacante con acceso de red para inyectar encabezados de proxy inverso puede eludir controles de acceso o suplantar la identidad del usuario en versiones anteriores a la 1.1.2.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Validation of Consistency within Input vulnerability in Drupal Reverse Proxy Header allows Manipulating User-Controlled Variables.This issue affects Reverse Proxy Header: from 0.0.0 before 1.1.2.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Productos afectados

Drupal · Reverse Proxy Header

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.drupal.org/sa-contrib-2025-111