平台
drupal
组件
drupal
修复版本
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
10.4.9
10.4.9
10.4.9
CVE-2025-13080 是 Drupal Drupal 核心中发现的“不当检查异常或特殊条件”漏洞,允许攻击者进行强制浏览。该漏洞可能导致未经授权的访问敏感信息。受影响的版本包括 Drupal 核心 8.0.0 之前的 10.4.9, 10.5.0 之前的 10.5.6, 11.0.0 之前的 11.1.9, 以及 11.2.0 之前的 11.2.8。该漏洞已在 10.4.9 版本中修复。
Drupal core 中的 CVE-2025-13080 影响 10.4.9、10.5.6、11.1.9 和 11.2.8 之前的版本,允许“强制浏览”(Forceful Browsing) 攻击。这是由于对不寻常或异常条件不正确的检查造成的。攻击者可能能够访问本来不应该访问的页面或资源,从而泄露敏感信息。对于处理敏感数据或需要严格访问控制的网站,风险很大。此漏洞与 Drupal 处理导航请求的方式有关,允许攻击者绕过已实现的访问限制。影响的严重程度取决于特定的 Drupal 网站配置以及未经授权可以访问的数据。强烈建议应用 Drupal 提供的安全更新以减轻此风险。
攻击者可以通过操纵网站的 URL 来访问受保护的页面或资源,从而利用此漏洞。这可能包括在 URL 中添加意外的参数或路由。利用的成功取决于 Drupal 网站的配置以及是否可以通过这些操纵的路由访问敏感资源。此漏洞是由于缺乏适当的用户输入验证造成的,这使得攻击者能够绕过访问限制。请注意,利用此漏洞可能需要对 Drupal 及其内部工作原理有一定的技术知识。
漏洞利用状态
EPSS
0.10% (28% 百分位)
CVE-2025-13080 的解决方案是将 Drupal core 更新到 10.4.9 或更高版本、10.5.6 或更高版本、11.1.9 或更高版本或 11.2.8 或更高版本。这些更新修复了允许“强制浏览”的缺陷检查。在应用任何更新之前,务必对整个网站进行完整备份。更新后,请彻底测试网站的所有功能,以确保其正常工作。此外,请检查权限和访问配置,以确保用户只能访问他们需要的资源。更新后,监控服务器日志以查找任何可疑活动。及时应用这些缓解措施对于保护您的 Drupal 网站免受潜在攻击至关重要。
Actualice Drupal core a la última versión disponible. Para las versiones 10.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种攻击,攻击者通过操纵 URL 尝试访问未经授权的页面或资源。
8.0.0 之前的 Drupal core 版本(高达 10.4.9)、10.5.0(高达 10.5.6)、11.0.0(高达 11.1.9)和 11.2.0(高达 11.2.8)。
检查您使用的 Drupal 版本,并将其与列出的漏洞版本进行比较。使用不同的 URL 进行导航测试以识别潜在的未经授权的访问。
实施额外的安全措施,例如加强权限配置并监控服务器日志。
请参阅 Drupal 安全页面:https://www.drupal.org/security
上传你的 composer.lock 文件,立即知道是否受影响。