プラットフォーム
drupal
コンポーネント
drupal
修正版
10.3.14
10.4.5
11.0.13
11.1.5
7.0.1
10.3.14
CVE-2025-31675は、Drupal coreにおけるクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性を悪用されると、攻撃者が悪意のあるスクリプトをWebページに挿入し、ユーザーのブラウザ上で実行させることが可能になり、Webサイトの改ざんやユーザー情報の窃取につながる可能性があります。影響を受けるバージョンは、Drupal coreの8.0.0から11.1.5までです。この脆弱性はバージョン11.1.5で修正されています。
Drupal Core の CVE-2025-31675 は、クロスサイトスクリプティング (XSS) の脆弱性です。これは、攻撃者が Drupal サイトの Web ページに悪意のあるコードを注入し、そのページを訪問するユーザーのブラウザでそのコードが実行される可能性があることを意味します。潜在的な影響には、機密情報の窃盗 (セッションクッキーなど)、悪意のある Web サイトへのユーザーのリダイレクト、またはページコンテンツの改ざんが含まれます。この脆弱性は、複数の Drupal Core バージョンに影響します。8.0.0 から 10.3.13、10.4.0 から 10.4.4、11.0.0 から 11.0.12、および 11.1.0 から 11.1.4 までです。このリスクを軽減するためには、Drupal Core をパッチが適用されたバージョンに更新することが重要です。この問題の根本原因は、Web ページ生成中に適切な入力の無効化が行われていないことであり、悪意のあるコードの注入が可能になります。
この脆弱性は、Web ページに表示される前に適切にサニタイズされていない入力フィールドに悪意のあるコードを注入することによって悪用されます。攻撃者は、この脆弱性を利用して、フォーム、コメント、またはユーザーがデータを入力できるその他のフィールドに悪意のあるスクリプトを挿入する可能性があります。これらのスクリプトはユーザーのブラウザで実行され、攻撃者が悪意のあるアクションを実行できるようになります。悪用の複雑さは、脆弱性の特定の場所と Drupal サイトの構成によって異なります。ユーザー入力の検証とエスケープの欠如が、この XSS 脆弱性の悪用を可能にする主な要因です。
Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.
• drupal: Check Drupal core version using drush --version.
• drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts.
• generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters.
• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.
disclosure
エクスプロイト状況
EPSS
0.27% (50% パーセンタイル)
CVSS ベクトル
CVE-2025-31675 を軽減するための主な解決策は、Drupal Core をバージョン 10.3.14 以降、10.4.5 以降、11.0.13 以降、または 11.1.5 以降に更新することです。これらのバージョンには、XSS コードの注入を防ぐために必要な修正が含まれています。さらに、ユーザー入力とやり取りする可能性のあるカスタムまたはサードパーティ製モジュールをレビューおよび更新する必要があります。コンテンツセキュリティポリシー (CSP) を実装することで、ブラウザがロードできるコンテンツのソースを制限し、追加の保護レイヤーを提供できます。サーバーログを監視して疑わしいアクティビティを検出することも、潜在的な攻撃に対応するのに役立ちます。これらのセキュリティ対策を適用することで、Drupal サイトをこの脆弱性の悪用から保護できます。
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.14 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.5 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.13 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.5 o superior. Si está utilizando la versión 7.x-1.x, actualice a una versión posterior a 7.x-1.12.
脆弱性分析と重要アラートをメールでお届けします。
影響を受けるバージョンは、Drupal Core 8.0.0 から 10.3.13、10.4.0 から 10.4.4、11.0.0 から 11.0.12、および 11.1.0 から 11.1.4 です。
サイトの管理ページにある「サイト情報」セクションで、Drupal Core のバージョンを確認できます。
XSS (クロスサイトスクリプティング) は、攻撃者が Web サイトに悪意のあるスクリプトを挿入できるセキュリティ脆弱性の一種です。
CSP は、Web サイト管理者がブラウザがロードできるコンテンツのソースを制御できるセキュリティメカニズムであり、XSS 攻撃のリスクを軽減します。
Drupal セキュリティページで、CVE-2025-31675 に関する詳細情報を入手できます: [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。