平台
drupal
组件
webform
修复版本
9.2.18
9.3.12
CVE-2022-25273是Drupal Core表单API中发现的一个漏洞,源于某些模块的表单可能存在不正确的输入验证。攻击者可以利用此漏洞注入不允许的值或覆盖数据,从而可能更改关键或敏感数据。此漏洞影响Drupal 9.2.9及更早版本。Drupal已在9.2.18版本中修复了此漏洞。
Drupal Core的CVE-2022-25273漏洞影响了Form API,允许攻击者向贡献或自定义模块的表单注入不允许的值或覆盖数据。虽然受影响的表单并不常见,但在某些情况下,攻击者可能会修改关键或敏感数据。风险源于某些表单中输入验证不足。这可能导致应用程序逻辑的操作或泄露机密信息。CVSS严重程度评分为7.5,表明高风险。为了减轻此漏洞,必须升级到9.2.18版本。未能升级可能会使网站容易受到利用Form API中此弱点的定向攻击。Form API的性质意味着此漏洞可能会影响网站的各种功能,具体取决于表单的使用方式。
攻击者可以通过HTTP请求向脆弱的表单注入恶意数据来利用此漏洞。这些恶意数据可用于覆盖现有数据、修改应用程序逻辑或执行任意代码,具体取决于网站配置和用户权限。成功利用此漏洞可能导致数据丢失、网站功能更改或完全控制服务器。利用难度将取决于表单的复杂性和实施的安全措施。重要的是要注意,Drupal 7不受此漏洞影响。
漏洞利用状态
EPSS
0.28% (52% 百分位)
CVSS 向量
CVE-2022-25273的主要缓解措施是将Drupal Core升级到9.2.18或更高版本。此更新包含解决Form API中输入验证漏洞所需的修复程序。此外,建议审查使用Form API的贡献和自定义模块,以确保它们实现了强大的输入验证。定期安全审计可以帮助识别和纠正表单中的潜在漏洞。实施严格的数据管理和访问控制安全策略也可以减少成功攻击的潜在影响。监控服务器日志中与表单操作相关的可疑活动是一种推荐的做法,用于检测和响应潜在攻击。
Actualice el módulo Webform a la versión 9.2.18 o superior, o a la versión 9.3.12 o superior de Drupal Core. Esta actualización corrige una vulnerabilidad de inyección de valores no permitidos debido a una validación de entrada inadecuada en ciertos formularios, lo que podría permitir a un atacante alterar datos críticos.
漏洞分析和关键警报直接发送到您的邮箱。
Drupal的Form API是一个系统,允许开发人员在Drupal站点中创建和管理Web表单。
版本9.2.18包含减轻CVE-2022-25273所需的修复程序,从而保护您的网站免受潜在攻击。
如果您使用的是9.2.18之前的Drupal版本,则很可能容易受到攻击。进行安全审计以确认。
审查使用Form API的自定义模块的代码,以确保它们实现了适当的输入验证。
不,Drupal 7不受此漏洞影响。
上传你的 composer.lock 文件,立即知道是否受影响。