MEDIUMCVE-2025-3057CVSS 6.1

Drupal Core のエラーメッセージを介したクロスサイトスクリプティング (XSS) の可能性

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.3.13

10.4.3

11.0.12

11.1.3

10.3.13

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年3月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2025-3057 is a Cross-Site Scripting (XSS) vulnerability in Drupal Core. This flaw allows attackers to inject malicious scripts into web pages, potentially leading to data theft or unauthorized actions. This affects Drupal core versions from 8.0.0 before 10.3.13, from 10.4.0 before 10.4.3, from 11.0.0 before 11.0.12, and from 11.1.0 before 11.1.3. The vulnerability is fixed in version 10.3.13.

影響と攻撃シナリオ

Drupal Core の CVE-2025-3057 は、クロスサイトスクリプティング (XSS) の脆弱性です。これは、攻撃者が Drupal の Web ページに悪意のあるコードを挿入し、そのページを閲覧するユーザーのブラウザでコードが実行される可能性があることを意味します。影響は、セッション Cookie の窃取や悪意のある Web サイトへのリダイレクトから、Web ページのコンテンツの変更まで多岐にわたります。この脆弱性は、Drupal Core の複数のバージョンに影響を与えます。具体的には、8.0.0 から 10.3.13 まで、10.4.0 から 10.4.3 まで、11.0.0 から 11.0.12 まで、11.1.0 から 11.1.3 までのバージョンです。この脆弱性の深刻度は CVSS スケールで 6.1 と評価されており、中程度のリスクを示しています。このリスクを軽減するために、Drupal をパッチが適用されたバージョンに更新することが重要です。

悪用の状況

この脆弱性は、Web ページ生成中に入力が無効化されないために発生します。攻撃者は、適切にサニタイズされていない入力フィールドを介して悪意のある JavaScript コードを挿入することで、この脆弱性を悪用する可能性があります。このコードはユーザーのブラウザで実行され、攻撃者がさまざまな悪意のあるアクションを実行できるようになります。悪用の状況は、特定の Drupal サイトの構成と脆弱な入力フィールドによって異なります。ユーザー入力の適切な検証とエスケープの欠如が、この脆弱性の根本原因です。Drupal サイト管理者には、この脆弱性を認識し、Web サイトを保護するための措置を講じる必要があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard83% まだ脆弱

EPSS

0.35% (57% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.0.0 – 10.3.1310.3.13

10.4.0 – 10.4.310.4.3

11.0.0 – 11.0.1211.0.12

11.1.0 – 11.1.311.1.3

8.0.010.3.13

10.4.010.3.13

11.0.010.3.13

11.1.010.3.13

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-03-31
公開日2025-04-01
更新日2025-12-10
EPSS 更新日2026-03-23

公開後-40日でパッチ適用

緩和策と回避策

CVE-2025-3057 の修正策は、Drupal Core を修正が含まれるバージョンに更新することです。具体的には、バージョン 10.3.13 以降、10.4.3 以降、11.0.12 以降、または 11.1.3 以降に更新してください。更新に加えて、カスタムコードを調べて、潜在的な XSS 脆弱性を特定して修正することをお勧めします。コンテンツセキュリティポリシー (CSP) を実装することで、アプリケーションが完全にパッチ適用されていなくても、XSS 攻撃の影響を軽減できます。サーバーログを監視して、疑わしいアクティビティがないか確認することも、良いセキュリティプラクティスです。攻撃者が機会を逃さないように、できるだけ早く更新を実行する必要があります。

修正方法翻訳中…

Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1, actualice a la versión 11.1.3 o superior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-3057 とは何ですか？（Drupal Core の Cross-Site Scripting (XSS)）

影響を受けるバージョンは、Drupal Core 8.0.0 から 10.3.13 まで、10.4.0 から 10.4.3 まで、11.0.0 から 11.0.12 まで、11.1.0 から 11.1.3 までのバージョンです。

Drupal Core の CVE-2025-3057 による影響を受けていますか？

サイトの管理ページにある「サイト情報」セクションで、Drupal のバージョンを確認できます。

Drupal Core の CVE-2025-3057 を修正するにはどうすればよいですか？

XSS (クロスサイトスクリプティング) は、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを挿入できるセキュリティ脆弱性の種類です。

CVE-2025-3057 は積極的に悪用されていますか？

CSP (コンテンツセキュリティポリシー) は、Web サイト管理者が Web ページでブラウザがロードすることを許可するリソースを制御できるセキュリティメカニズムです。

CVE-2025-3057 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

Drupal の Web サイトと CVE などの脆弱性データベースで、さらに詳しい情報を入手できます。