平台
drupal
组件
drupal
修复版本
10.4.9
10.5.6
11.1.9
11.2.8
10.4.9
CVE-2025-13081 是 Drupal Drupal 核心中发现的一个对象注入漏洞,允许攻击者通过控制动态确定的对象属性来执行恶意操作。该漏洞可能导致未经授权的访问和修改数据,对网站的安全性构成威胁。受影响的版本包括 Drupal 8.0.0 之前的 10.4.9、10.5.0 之前的 10.5.6、11.0.0 之前的 11.1.9 以及 11.2.0 之前的 11.2.8。目前已发布修复版本 10.4.9。
Drupal core 中的 CVE-2025-13081 漏洞,由于对动态确定的对象属性的控制不当,导致对象注入风险。这意味着攻击者可能能够操纵 Drupal 处理对象的方式,从而执行恶意代码或访问敏感信息。此漏洞影响 Drupal core 的 8.0.0 到 10.4.8、10.5.0 到 10.5.5、11.0.0 到 11.1.8 以及 11.2.0 到 11.2.7 版本。根据 CVSS 的评估,严重程度为 5.9,表明存在中等风险。成功利用可能导致 Drupal 网站的完整性和保密性受损。为了降低此风险,务必应用安全更新。
利用此漏洞需要攻击者能够影响 Drupal 操作的对象属性。这可以通过操纵输入数据(例如表单或 URL 参数)来实现。然后,攻击者可以注入在具有相应权限的 Drupal 用户上下文中执行的恶意代码。潜在影响取决于受影响用户的权限和网站配置。目前尚不清楚此漏洞是否已在野外被积极利用,但建议采取预防措施以避免潜在攻击。
漏洞利用状态
EPSS
0.20% (42% 百分位)
CVSS 向量
解决 CVE-2025-13081 的方法是将 Drupal core 更新到 10.4.9 或更高版本、10.5.6 或更高版本、11.1.9 或更高版本或 11.2.8 或更高版本。Drupal 发布了安全更新,直接解决了此漏洞。建议尽快应用此更新,尤其是在您的 Drupal 网站处理敏感信息或接收大量流量时。此外,请检查贡献模块是否也已更新,因为它们可能会间接受到影响。在应用任何更新之前,请备份您的网站,以便在出现问题时能够恢复。
Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.4.9, 10.5.6, 11.1.9 o 11.2.8, o una versión posterior. Esto solucionará la vulnerabilidad de inyección de objetos.
漏洞分析和关键警报直接发送到您的邮箱。
对象注入是一种漏洞,允许攻击者操纵应用程序处理对象的方式,从而可能执行恶意代码。
如果无法立即更新,请考虑实施额外的安全措施,例如限制对网站敏感区域的访问以及监控服务器日志以查找可疑活动。
此漏洞会影响使用所提及的 Drupal core 版本的网站。如果您使用的是更新的版本,则您已经受到保护。
您可以在 Drupal 网站和 NIST NVD 等漏洞数据库中找到有关此漏洞的更多信息。
您可以通过访问网站的管理页面并在站点信息部分查找版本信息来检查您使用的 Drupal 版本。
上传你的 composer.lock 文件,立即知道是否受影响。