LOWCVE-2025-13080CVSS 2.5

Drupal core に強制ブラウジングの脆弱性

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.4.9

10.5.6

11.1.9

11.2.8

10.4.9

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2025-13080 は、Drupal コアにおいて、予期しない状況や例外的な状況のチェックが不十分であるために発生する脆弱性です。この脆弱性を悪用されると、攻撃者は Forceful Browsing を実行し、機密情報にアクセスする可能性があります。影響を受けるバージョンは、Drupal 8.0.0 以前の 10.4.9、10.5.0 以前の 10.5.6、11.0.0 以前の 11.1.9、11.2.0 以前の 11.2.8 です。10.4.9 以降のバージョンで修正されています。

影響と攻撃シナリオ

Drupal core の CVE-2025-13080 は、10.4.9、10.5.6、11.1.9、11.2.8 以前のバージョンに影響を与え、「Forceful Browsing」攻撃を可能にします。これは、異常または例外的な条件の不適切なチェックが原因です。攻撃者は、本来アクセスできないはずのページやリソースにアクセスし、機密情報を漏洩させる可能性があります。機密データを扱うウェブサイトや、厳格なアクセス制御が必要なウェブサイトでは、リスクは大きくなります。この脆弱性は、Drupal がナビゲーションリクエストを処理する方法に関連しており、攻撃者が実装されているアクセス制限を回避できる可能性があります。影響の重大度は、特定の Drupal サイトの設定と、不正アクセスによってアクセスできるデータによって異なります。このリスクを軽減するために、Drupal が提供するセキュリティアップデートを適用することを強くお勧めします。

悪用の状況

攻撃者は、ウェブサイトの URL を操作して、保護されたページやリソースにアクセスすることで、この脆弱性を悪用する可能性があります。これには、URL に予期しないパラメータやルートを追加することが含まれる場合があります。悪用の成功は、Drupal サイトの設定と、これらの操作されたルートを通じてアクセス可能な機密リソースの有無に依存します。この脆弱性は、ユーザー入力の適切な検証がないことに基づいており、攻撃者がアクセス制限を回避できる可能性があります。この脆弱性を悪用するには、Drupal とその内部構造に関する一定の技術的な知識が必要となる可能性があることに注意してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

NextGuard83% まだ脆弱

EPSS

0.10% (28% パーセンタイル)

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.0.0 – 10.4.910.4.9

10.5.0 – 10.5.610.5.6

11.0.0 – 11.1.911.1.9

11.2.0 – 11.2.811.2.8

8.0.010.4.9

10.5.010.4.9

11.0.010.4.9

11.2.010.4.9

弱点分類 (CWE)

CWE-754

タイムライン

予約済み2025-11-12
公開日2025-11-18
更新日2025-12-10
EPSS 更新日2026-03-23

公開後-5日でパッチ適用

緩和策と回避策

CVE-2025-13080 の修正策は、Drupal core を 10.4.9 以降、10.5.6 以降、11.1.9 以降、または 11.2.8 以降のバージョンにアップデートすることです。これらのアップデートは、「Forceful Browsing」を可能にする不適切なチェックを修正します。アップデートを適用する前に、必ずウェブサイト全体の完全なバックアップを作成してください。アップデート後、すべてのウェブサイトの機能が正常に動作していることを確認するために、徹底的なテストを実施してください。さらに、ユーザーがアクセスする必要のあるリソースのみにアクセスできるように、権限とアクセス設定を確認してください。アップデート後、サーバーログを監視して、不審なアクティビティがないか確認してください。これらの軽減策を適時に適用することが、Drupal サイトを潜在的な攻撃から保護するために不可欠です。

修正方法翻訳中…

Actualice Drupal core a la última versión disponible. Para las versiones 10.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13080 とは何ですか？（Drupal Core）

これは、攻撃者が URL を操作して、許可されていないページやリソースにアクセスしようとする攻撃です。

Drupal Core の CVE-2025-13080 による影響を受けていますか？

8.0.0 以前 (10.4.9 まで)、10.5.0 (10.5.6 まで)、11.0.0 (11.1.9 まで)、11.2.0 (11.2.8 まで) の Drupal core バージョン。

Drupal Core の CVE-2025-13080 を修正するにはどうすればよいですか？

使用している Drupal のバージョンを確認し、リストされている脆弱なバージョンと比較してください。さまざまな URL でナビゲーションテストを実行して、潜在的な不正アクセスを特定します。

CVE-2025-13080 は積極的に悪用されていますか？

権限設定を強化したり、サーバーログを監視したりするなど、追加のセキュリティ対策を実装してください。

CVE-2025-13080 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

Drupal セキュリティページを参照してください: https://www.drupal.org/security