LOWCVE-2025-13083CVSS 3.7

Drupal 核心允许利用配置不正确的访问控制安全级别

平台

drupal

组件

drupal

修复版本

10.4.9

10.5.6

11.1.9

11.2.8

7.103.1

10.4.9

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-13083 是 Drupal 核心中发现的一个访问控制配置错误漏洞，允许攻击者利用不正确的安全级别访问敏感信息。此漏洞可能导致未经授权的访问和潜在的数据泄露。受影响的版本包括 Drupal 核心 8.0.0 之前的 10.4.9, 10.5.0 之前的 10.5.6, 11.0.0 之前的 11.1.9, 11.2.0 之前的 11.2.8，以及 7.0 之前的 7.103。该漏洞已在 10.4.9 版本中修复。

影响与攻击场景

Drupal core的CVE-2025-13083影响了访问控制安全级别管理的机制以及Web浏览器缓存的使用。攻击者可能利用配置不正确的访问控制来访问存储在浏览器缓存中的敏感信息。如果缓存包含机密数据，这尤其令人担忧，因为这些数据可能会暴露给未经授权的用户。此漏洞影响Drupal core版本，从8.0.0之前的10.4.9，从10.5.0之前的10.5.6，从11.0.0之前的11.1.9，从11.2.0之前的11.2.8，以及从7.0之前的7.103。此漏洞的严重程度在于潜在的敏感数据泄露风险以及如果访问配置未正确实施，则可能相对容易被利用。

利用背景

利用此漏洞需要攻击者能够操纵HTTP请求以访问受保护的资源。这可以通过在URL中注入恶意代码或通过操纵会话cookie来实现。攻击者还需要能够影响浏览器缓存的行为，以便存储敏感信息。利用的成功取决于特定的Drupal配置以及浏览器缓存中是否存在敏感信息。利用的复杂性取决于Drupal网站的配置和实施的安全措施。

哪些人处于风险中翻译中…

Organizations and individuals using Drupal Core for websites or applications that handle sensitive data, particularly those running versions prior to 10.4.9. Sites with complex access control configurations or those relying heavily on browser caching are at higher risk.

检测步骤翻译中…

• drupal: Check Drupal core version using drush --version. • drupal: Review access control configurations for any inconsistencies or overly permissive settings. • generic web: Monitor web server access logs for unusual requests targeting cached resources. • generic web: Use browser developer tools to inspect cached resources and verify that sensitive data is not exposed.

攻击时间线

2025-11-18Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard83% 仍然脆弱

EPSS

0.02% (5% 百分位)

CVSS 向量

受影响的软件

组件drupal

供应商osv

影响范围修复版本

8.0.0 – 10.4.910.4.9

10.5.0 – 10.5.610.5.6

11.0.0 – 11.1.911.1.9

11.2.0 – 11.2.811.2.8

7.0 – 7.1037.103.1

8.0.010.4.9

弱点分类 (CWE)

CWE-525

时间线

已保留2025-11-12
发布日期2025-11-18
修改日期2026-02-03
EPSS 更新日期2026-03-23

披露后-5天发布补丁

缓解措施和替代方案

减轻CVE-2025-13083的解决方案是将Drupal更新到已修补的版本。具体来说，建议更新到版本10.4.9或更高版本，10.5.6或更高版本，11.1.9或更高版本，11.2.8或更高版本，或7.103或更高版本。除了更新之外，还建议审查和加强Drupal中敏感资源访问配置。这包括确保访问控制已正确定义，并且只有授权用户才能访问机密信息。实施适当的缓存策略对于防止敏感信息在浏览器缓存中存储很长时间至关重要。最后，定期安全审计可以帮助识别和纠正潜在的错误配置。

修复方法翻译中…

Actualice Drupal core a la última versión disponible. Para las versiones 7.x, actualice a la versión 7.103 o superior. Para las versiones 8.x a 10.4.x, actualice a la versión 10.4.9 o superior. Para las versiones 10.5.x, actualice a la versión 10.5.6 o superior. Para las versiones 11.0.x, actualice a la versión 11.1.9 o superior. Para las versiones 11.2.x, actualice a la versión 11.2.8 o superior.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-13083 是什么 — Drupal Core 中的漏洞？

受影响的版本包括8.0.0之前的10.4.9，10.5.0之前的10.5.6，11.0.0之前的11.1.9，11.2.0之前的11.2.8，以及7.0之前的7.103。

Drupal Core 中的 CVE-2025-13083 是否会影响我？

您可以在网站的状态页面或通过管理界面检查Drupal版本。

如何修复 Drupal Core 中的 CVE-2025-13083？

如果无法立即更新，请考虑实施缓解措施，例如加强访问控制并审查缓存配置。

CVE-2025-13083 是否正在被积极利用？

Drupal有安全模块可以帮助识别错误配置和漏洞。

在哪里可以找到 Drupal Core 关于 CVE-2025-13083 的官方安全通告？

您可以在Drupal网站和NIST NVD等漏洞数据库中找到更多信息。