平台
drupal
组件
core
修复版本
9.3.19
9.4.3
CVE-2022-25276是Drupal Core Media oEmbed iframe路由中的一个漏洞,由于未正确验证iframe域设置,可能导致跨站脚本(XSS)攻击。攻击者可以利用此漏洞在主域上下文中显示恶意嵌入,从而窃取用户cookie或执行其他恶意操作。受影响的版本包括Drupal Core 9.3.9及更早版本。此漏洞已在Drupal Core 9.3.19版本中修复。
Drupal Core的CVE-2022-25276影响了Media模块中的oEmbed iframe路由。该漏洞源于对iframe域名设置的不当验证,允许嵌入在主域的上下文中显示。这可能导致跨站脚本攻击(XSS)、Cookie泄露或其他安全漏洞。 广泛使用第三方嵌入的网站面临的风险尤其高,因为攻击者可能会利用此漏洞向受保护的页面注入恶意代码,从而危及用户安全和网站完整性。 为了减轻此风险,必须将Drupal升级到9.3.19或更高版本。 由于Drupal 7不包含Media模块,因此不受影响。
攻击者可以通过创建指向不受信任域的恶意oEmbed iframe来利用此漏洞。如果Drupal网站未正确验证iframe域名,则恶意内容将在主域的上下文中加载,从而允许攻击者在用户浏览器中执行任意JavaScript代码。这可用于窃取会话Cookie,将用户重定向到恶意网站,或修改网站内容。 利用的可能性取决于网站的配置以及与Media模块交互的自定义模块或代码的存在。
漏洞利用状态
EPSS
1.26% (79% 百分位)
CVSS 向量
解决CVE-2022-25276的主要方法是将Drupal Core升级到9.3.19或更高版本。此更新包含必要的修复程序,以正确验证oEmbed iframe域名。此外,还应审查和更新任何使用Media模块及其oEmbed功能的自定义模块。实施内容安全策略(CSP)可以通过限制可以加载到网站上的内容来源来提供额外的保护层。 监控网站日志以查找可疑活动也是一种推荐的做法,用于检测和响应潜在的利用尝试。
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
漏洞分析和关键警报直接发送到您的邮箱。
不,Drupal 7不受影响,因为它不包含Media模块。
如果无法立即升级,请考虑实施内容安全策略(CSP)以减轻风险。
oEmbed是一种协议,允许将外部网站的内容嵌入到您的Drupal网站中。
您可以在网站的管理页面上的“网站信息”部分验证Drupal版本。
是的,有几种Drupal漏洞扫描工具,既有免费的,也有付费的。
上传你的 composer.lock 文件,立即知道是否受影响。