CRITICALCVE-2023-5256CVSS 9.5

CVE-2023-5256：Drupal Core敏感信息泄露漏洞（CVSS 9.5）

Q: 如何修复 Drupal Core 中的 CVE-2023-5256？

如果您启用了 JSON:API 模块，您的站点很可能容易受到攻击。 进行渗透测试或咨询 Drupal 安全专家。

平台

drupal

组件

drupal

修复版本

10.1.5

10.0.12

9.5.12

9.5.11

AI Confidence: highNVDEPSS 1.3%已审阅: 2026年4月

在NVD查看

保存

CVE-2023-5256是Drupal Core中的一个敏感信息泄露漏洞。在特定情况下，Drupal的JSON:API模块会输出错误回溯信息。在某些配置下，这可能导致敏感信息被缓存并提供给匿名用户，从而导致权限提升。此漏洞仅影响启用了JSON:API模块的站点。受影响的版本包括≤9.5.9。升级到9.5.11版本可以修复此漏洞。

影响与攻击场景

Drupal 的 CVE-2023-5256 漏洞影响 JSON:API 模块，在某些情况下可能导致输出错误回溯（backtraces）。借助某些配置，这可能导致敏感信息被缓存并提供给匿名用户，从而导致特权升级。 CVSS 评分达到 9.5，表明存在严重风险。重要的是要理解，此漏洞不影响 Drupal 的核心 REST 模块或贡献的 GraphQL 模块。在生产环境中公开敏感信息可能会危及应用程序的安全性以及用户数据。

利用背景

利用此漏洞需要启用 JSON:API 模块，并且需要允许缓存错误回溯的特定配置。攻击者可以在 JSON:API 模块中触发错误，从而生成包含敏感信息的错误回溯。如果此回溯被缓存并提供给匿名用户，攻击者可能会获得对机密信息（例如文件路径、数据库名称或源代码）的访问权限。利用的可能性取决于站点的特定配置以及 JSON:API 模块中是否存在错误。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

NextGuard83% 仍然脆弱

EPSS

1.29% (80% 百分位)

受影响的软件

组件drupal

供应商osv

影响范围修复版本

10.1 – 10.1.410.1.5

10.0 – 10.0.1110.0.12

9.5 – 9.5.119.5.12

8.7.09.5.11

10.0.09.5.11

10.1.09.5.11

弱点分类 (CWE)

CWE-200

时间线

已保留2023-09-28
发布日期2023-09-28
修改日期2025-12-10
EPSS 更新日期2026-04-02

披露后-7天发布补丁

缓解措施和替代方案

减轻此漏洞的最直接方法是卸载 JSON:API 模块。如果模块对于站点功能至关重要，则建议升级到包含修复程序的 9.5.11 或更高版本。在进行任何模块更新或卸载之前，应执行站点的完整备份。此外，请检查站点配置，以确保没有设置会增加敏感信息泄露的风险。及时更新和应用良好的安全实践对于保护您的 Drupal 站点至关重要。

修复方法翻译中…

Desinstale el módulo JSON:API para mitigar la vulnerabilidad. Alternativamente, actualice Drupal Core a la última versión disponible que contenga la corrección para este problema. Consulte el anuncio de seguridad de Drupal para obtener más detalles y parches.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2023-5256 是什么 — Drupal Core 中的 Privilege Escalation？

不，它仅影响启用了 JSON:API 模块的站点。

Drupal Core 中的 CVE-2023-5256 是否会影响我？

将模块更新到 9.5.11 或更高版本。

如何修复 Drupal Core 中的 CVE-2023-5256？

如果您启用了 JSON:API 模块，您的站点很可能容易受到攻击。进行渗透测试或咨询 Drupal 安全专家。

CVE-2023-5256 是否正在被积极利用？

漏洞扫描器可以检测此漏洞，但进行手动测试以确认其存在非常重要。

在哪里可以找到 Drupal Core 关于 CVE-2023-5256 的官方安全通告？

文件路径、数据库名称、源代码以及在错误回溯中找到的其他机密信息。