MEDIUMCVE-2025-31673CVSS 4.6

Drupal Coreに強引なブラウジングの脆弱性

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.3.13

10.4.3

11.0.12

11.1.3

10.3.13

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2025-31673は、Drupal Coreにおける不正な認証チェックの欠陥により発生する強制ブラウジングの脆弱性です。この脆弱性は、認証されていない攻撃者が、本来アクセスできないはずの機密情報にアクセスする可能性を許します。影響を受けるバージョンは、Drupal 8.0.0以前の10.3.13、10.4.0以前の10.4.3、11.0.0以前の11.0.12、11.1.0以前の11.1.3です。10.3.13で修正が提供されています。

影響と攻撃シナリオ

Drupal Core の CVE-2025-31673 は、不適切な認証による Forceful Browsing (強制閲覧) を可能にする脆弱性です。これは、攻撃者が適切な認証情報なしに Drupal サイト上で機密情報にアクセスしたり、許可されていない操作を実行したりする可能性があることを意味します。この脆弱性は、Drupal Core の以下のバージョンに影響します。8.0.0 より前の 10.3.13、10.4.0 より前の 10.4.3、11.0.0 より前の 11.0.12、および 11.1.0 より前の 11.1.3。CVSS スコアは 4.6 で、中程度のリスクを示しています。攻撃が成功した場合、データ漏洩、権限昇格、その他の悪意のある活動につながる可能性があります。問題の核心は、特定のリソースへのアクセス時にユーザーの権限を十分に検証していないことです。

悪用の状況

Forceful Browsing は、適切な認証なしに Web サイト内のページやリソースにアクセスできる場合に発生します。Drupal のコンテキストでは、これには URL またはリクエストパラメータを操作することによって、構成ファイル、管理ページ、または機密データにアクセスすることが含まれる可能性があります。攻撃者は、自動化されたスキャンツールを使用して、認証の脆弱性を特定し、この脆弱性を悪用する可能性があります。Exploit の成功は、特定の Drupal サイトの構成と実装されているセキュリティ対策によって異なります。特定のルートでの適切な権限検証の欠如が、この脆弱性の主な原因です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard83% まだ脆弱

EPSS

0.28% (51% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.0.0 – 10.3.1310.3.13

10.4.0 – 10.4.310.4.3

11.0.0 – 11.0.1211.0.12

11.1.0 – 11.1.311.1.3

8.0.010.3.13

10.4.010.3.13

11.0.010.3.13

11.1.010.3.13

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2025-03-31
公開日2025-04-01
更新日2025-12-10
EPSS 更新日2026-03-23

公開後-40日でパッチ適用

緩和策と回避策

この脆弱性を軽減するための推奨される対策は、Drupal Core を最新の利用可能なバージョン (10.3.13、10.4.3、11.0.12、または 11.1.3) に更新することです。この更新を迅速に適用することは、潜在的な攻撃から Web サイトを保護するために不可欠です。さらに、ユーザーの権限とロールを確認して、承認されたユーザーのみがサイトの機密性の高い部分にアクセスできるようにします。定期的なセキュリティ監査も、他の潜在的な脆弱性を特定して対処するのに役立ちます。更新は、この脅威を排除するための最も効果的かつ直接的なソリューションです。

修正方法翻訳中…

Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.3 o superior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-31673 とは何ですか？（Drupal Core）

これは、適切な認証なしにページやリソースにアクセスできる攻撃技術です。

Drupal Core の CVE-2025-31673 による影響を受けていますか？

Drupal 8.0.0 - 10.3.12、10.4.0 - 10.4.2、11.0.0 - 11.0.11、および 11.1.0 - 11.1.2。

Drupal Core の CVE-2025-31673 を修正するにはどうすればよいですか？

Drupal 管理パネルにアクセスし、サイト情報セクションでバージョンを確認してください。

CVE-2025-31673 は積極的に悪用されていますか？

ユーザー権限の強化やサイトの不審な活動の監視など、追加のセキュリティ対策を実装してください。

CVE-2025-31673 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

Web セキュリティスキャナは、この脆弱性を検出できますが、更新が最も効果的なソリューションです。