平台
drupal
组件
drupal
修复版本
9.3.19
9.4.3
CVE-2022-25278是Drupal Core表单API中由于表单元素访问评估不正确导致的权限绕过漏洞。攻击者可能利用此漏洞修改其不应访问的数据,造成数据泄露或篡改。该漏洞影响Drupal Core 9.3.9及更早版本。Drupal已在版本9.3.19中修复了此漏洞,建议用户尽快升级。
Drupal Core 中的 CVE-2022-25278 影响了表单 API 评估表单元素访问的方式。具体来说,系统没有正确验证修改某些字段所需的权限,这可能允许具有不足权限的用户修改他们不应该访问的数据。这可能表现为修改网站配置、操纵敏感内容,甚至修改用户数据。影响取决于网站配置和用户权限,但在最坏的情况下,可能会危及网站上存储的信息的完整性和安全性。CVSS 严重程度为 6.5,表示中等风险。为了降低这种风险,必须将 Drupal 更新到 9.3.19 或更高版本。
此漏洞是通过操纵通过 Drupal 表单提交的数据来利用的。攻击者可以创建恶意表单或修改现有表单数据,以绕过修改某些字段所需的权限。利用的成功取决于网站配置和用户权限。技术娴熟的攻击者可以利用此漏洞获得对敏感数据的未经授权的访问或修改网站配置。
漏洞利用状态
EPSS
0.45% (64% 百分位)
CVSS 向量
解决 CVE-2022-25278 的主要方法是将 Drupal Core 更新到 9.3.19 或更高版本。此更新包含必要的修复程序,以正确验证表单元素访问。此外,建议审查 Drupal 网站上的用户权限和角色,以确保用户只能访问他们需要的实用程序和数据。定期安全审计可以帮助识别和纠正可能增加漏洞利用风险的潜在错误配置。如果无法立即更新,请考虑实施额外的安全措施,例如限制对网站某些区域的访问以及监控用户活动是否存在可疑行为。
Actualice el núcleo de Drupal a la versión 9.4.3 o posterior, o a la versión 9.3.19 o posterior para mitigar la vulnerabilidad. Esta actualización corrige un error en la forma en que la API de formulario del núcleo de Drupal evalúa el acceso al elemento del formulario, lo que podría permitir a un usuario modificar datos a los que no debería tener acceso.
漏洞分析和关键警报直接发送到您的邮箱。
9.3.19 之前的 Drupal Core 版本受到 CVE-2022-25278 的影响。
您可以在网站的管理页面上的“站点信息”部分检查 Drupal 版本。
如果无法立即更新,请考虑限制对网站敏感区域的访问,并监控用户活动是否存在可疑行为。
有 Drupal 安全扫描程序可以帮助您识别此漏洞和其他漏洞。
您可以在 Drupal 网站和国家漏洞数据库 (NVD) 等漏洞数据库中找到更多信息。
上传你的 composer.lock 文件,立即知道是否受影响。