LOWCVE-2025-13083CVSS 3.7

Drupal core に、誤って設定されたアクセス制御セキュリティレベルを悪用される脆弱性があります

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.4.9

10.5.6

11.1.9

11.2.8

7.103.1

10.4.9

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-13083は、Drupal Coreにおいて、Webブラウザのキャッシュに機密情報が保存されることで発生する脆弱性です。これにより、アクセス制御セキュリティレベルが正しく設定されていない場合、攻撃者が機密情報にアクセスできる可能性があります。この脆弱性は、Drupal 8.0.0以前の10.4.9、10.5.0以前の10.5.6、11.0.0以前の11.1.9、11.2.0以前の11.2.8、および7.0以前の7.103に影響を与えます。Drupal 10.4.9以降にアップデートすることで修正されています。

影響と攻撃シナリオ

Drupal coreのCVE-2025-13083は、アクセス制御セキュリティレベルの管理方法と、ウェブブラウザキャッシュの使用に影響を与えます。攻撃者は、誤った構成のアクセス制御を悪用して、ブラウザキャッシュに保存されている機密情報にアクセスする可能性があります。キャッシュに機密データが含まれている場合、これは特に懸念される問題です。なぜなら、そのようなデータが許可されていないユーザーに公開される可能性があるからです。この脆弱性は、Drupal coreの8.0.0から10.4.8、10.5.0から10.5.5、11.0.0から11.1.8、11.2.0から11.2.7、および7.0から7.102までのバージョンに影響を与えます。この脆弱性の重大度は、機密データの漏洩の可能性と、アクセス構成が正しく実装されていない場合に、比較的簡単に悪用される可能性があることにあります。

悪用の状況

この脆弱性を悪用するには、攻撃者が保護されたリソースにアクセスするためにHTTPリクエストを操作できる必要があります。これは、URLに悪意のあるコードを挿入したり、セッションCookieを操作したりすることで実現できる可能性があります。攻撃者はまた、ブラウザキャッシュの動作に影響を与えて、機密情報を保存できるようにする必要があります。悪用の成功は、特定のDrupal構成と、ブラウザキャッシュに機密情報が存在するかどうかに依存します。悪用の複雑さは、Drupalサイトの構成と実装されているセキュリティ対策によって異なります。

リスク対象者翻訳中…

Organizations and individuals using Drupal Core for websites or applications that handle sensitive data, particularly those running versions prior to 10.4.9. Sites with complex access control configurations or those relying heavily on browser caching are at higher risk.

検出手順翻訳中…

• drupal: Check Drupal core version using drush --version. • drupal: Review access control configurations for any inconsistencies or overly permissive settings. • generic web: Monitor web server access logs for unusual requests targeting cached resources. • generic web: Use browser developer tools to inspect cached resources and verify that sensitive data is not exposed.

攻撃タイムライン

2025-11-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard83% まだ脆弱

EPSS

0.02% (5% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.0.0 – 10.4.910.4.9

10.5.0 – 10.5.610.5.6

11.0.0 – 11.1.911.1.9

11.2.0 – 11.2.811.2.8

7.0 – 7.1037.103.1

8.0.010.4.9

弱点分類 (CWE)

CWE-525

タイムライン

予約済み2025-11-12
公開日2025-11-18
更新日2026-02-03
EPSS 更新日2026-03-23

公開後-5日でパッチ適用

緩和策と回避策

CVE-2025-13083を軽減するための解決策は、Drupalをパッチが適用されたバージョンに更新することです。具体的には、バージョン10.4.9以降、10.5.6以降、11.1.9以降、11.2.8以降、または7.103以降に更新することをお勧めします。更新に加えて、Drupal内の機密リソースへのアクセス構成をレビューおよび強化することをお勧めします。これには、アクセス制御が正しく定義され、許可されたユーザーのみが機密情報にアクセスできるようにすることを含みます。機密情報がブラウザキャッシュに長期間保存されないように、適切なキャッシュポリシーを実装することが不可欠です。最後に、定期的なセキュリティ監査は、潜在的な誤った構成を特定し、修正するのに役立ちます。

修正方法翻訳中…

Actualice Drupal core a la última versión disponible. Para las versiones 7.x, actualice a la versión 7.103 o superior. Para las versiones 8.x a 10.4.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13083 とは何ですか？（Drupal Core）

影響を受けるバージョンは、Drupal 8.0.0から10.4.8、10.5.0から10.5.5、11.0.0から11.1.8、11.2.0から11.2.7、および7.0から7.102です。

Drupal Core の CVE-2025-13083 による影響を受けていますか？

サイトのステータスページまたは管理インターフェースを通じてDrupalのバージョンを確認できます。

Drupal Core の CVE-2025-13083 を修正するにはどうすればよいですか？

すぐに更新できない場合は、アクセス制御の強化やキャッシュ構成のレビューなど、軽減策を実装することを検討してください。

CVE-2025-13083 は積極的に悪用されていますか？

Drupalのセキュリティモジュールがあり、誤った構成と脆弱性を特定するのに役立ちます。

CVE-2025-13083 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

DrupalのウェブサイトとNIST NVDなどの脆弱性データベースで詳細情報を入手できます。