平台
drupal
组件
drupal
修复版本
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
CVE-2024-12393是一个存在于Drupal Core中的跨站脚本(XSS)漏洞。该漏洞源于Drupal在某些情况下使用JavaScript渲染状态消息,但未充分清理。攻击者可利用此漏洞注入恶意脚本,影响用户安全。受影响的版本包括8.8.0到10.2.11,10.3.0到10.3.9,以及11.0.0到11.0.8。此漏洞已在Drupal 10.2.11版本中修复。
Drupal Core 的 CVE-2024-12393 漏洞影响了使用 JavaScript 渲染状态消息的方式。在某些配置中,这些消息没有得到充分的 sanitization,这可能允许攻击者注入恶意 JavaScript 代码。此代码可能在用户的浏览器中执行,从而可能损害网站的安全性。该漏洞的严重程度在 CVSS 规模上评为 5.4,表明存在中等风险。受影响的版本包括 Drupal Core 从 8.8.0 到 10.2.11,10.3.0 到 10.3.9,以及 11.0.0 到 11.0.8。成功利用可能导致任意代码执行、敏感信息被盗或网站篡改。
该漏洞是通过向状态消息注入 JavaScript 代码来利用的。攻击者可以通过操纵用于生成这些消息的数据来实现此目的,并利用不充分的 sanitization。利用的上下文取决于特定的 Drupal 网站配置以及使用 JavaScript 渲染的状态消息的功能。利用需要攻击者能够影响用于生成状态消息的数据,这可以通过自定义模块或主题中的各种漏洞来实现。注入代码的执行取决于用户的浏览器配置和网站的安全策略。
漏洞利用状态
EPSS
1.89% (83% 百分位)
CVSS 向量
建议的解决方案是将 Drupal Core 更新到已修补的版本。具体来说,更新到版本 10.2.11 或更高版本,10.3.9 或更高版本,或 11.0.8 或更高版本。这些版本包含解决状态消息中 JavaScript sanitization 漏洞的补丁。如果无法立即更新,请考虑实施临时缓解措施,例如仔细审查自定义 JavaScript 代码并暂时禁用使用 JavaScript 渲染的状态消息的功能。尽快应用更新对于最大限度地减少利用风险至关重要。更新后应进行彻底的测试,以确保网站的功能。
Actualice Drupal Core a la última versión disponible. Para las versiones 8.8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
漏洞分析和关键警报直接发送到您的邮箱。
Drupal Core 从 8.8.0 到 10.2.11,10.3.0 到 10.3.9,以及 11.0.0 到 11.0.8。
检查您使用的 Drupal Core 版本。如果它在受影响的范围内,则很可能容易受到攻击。
JavaScript sanitization 是清理和验证 JavaScript 代码的过程,以删除或中和任何恶意代码。
考虑实施临时缓解措施,例如仔细审查自定义 JavaScript 代码并暂时禁用使用状态消息的功能。
Drupal 提供内置的更新工具和第三方模块,可以简化更新过程。
上传你的 composer.lock 文件,立即知道是否受影响。