平台
drupal
组件
drupal
修复版本
1.0.3
1.0.4
CVE-2025-13982 描述了 Drupal Login Time Restriction 模块中存在的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在受害者不知情的情况下执行未经授权的操作,可能导致数据泄露或系统损坏。此问题影响 Drupal Login Time Restriction 模块的 0.0.0 版本之前的所有版本,以及 1.0.3 及更早版本。建议用户尽快升级到最新版本以缓解风险。
攻击者可以利用此 CSRF 漏洞伪造请求,从而在用户不知情的情况下修改 Drupal 网站的配置或执行其他恶意操作。例如,攻击者可以更改登录时间限制的设置,允许未经授权的用户访问系统。更严重的场景下,攻击者可能利用此漏洞执行代码注入攻击,进一步控制受影响的系统。由于 Drupal 广泛应用于各种网站和应用程序,因此该漏洞的潜在影响范围非常广泛,可能导致敏感数据泄露、服务中断以及声誉损失。
目前尚无公开的漏洞利用程序 (PoC) 可用,但由于该漏洞属于 CSRF 类型,且 Drupal 平台广泛使用,因此存在被利用的风险。该漏洞已于 2026-01-28 公开,尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Drupal sites utilizing the Login Time Restriction module, particularly those with sensitive data or critical functionality, are at risk. Sites running older, unpatched versions of Drupal are especially vulnerable. Shared hosting environments where users have limited control over installed modules also face increased risk.
• drupal: Check the version of the Login Time Restriction module using drush pm-info logintimerestriction. If the version is less than 1.0.3, the system is vulnerable.
• generic web: Monitor Drupal site logs for suspicious POST requests originating from different IP addresses than the authenticated user's. Use a WAF to block requests without valid CSRF tokens.
disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CVSS 向量
最有效的缓解措施是升级 Drupal Login Time Restriction 模块到 1.0.3 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑实施一些临时缓解措施,例如在所有关键操作上启用 CSRF 令牌验证。此外,建议审查 Drupal 网站的配置,确保所有用户权限都已正确设置,并定期进行安全审计,以识别和修复潜在的安全漏洞。升级后,请确认模块已成功更新,并测试关键功能以确保其正常运行。
将 Login Time Restriction 模块更新到 1.0.3 或更高版本。此版本修复了 CSRF 漏洞。您可以通过 Drupal 管理界面或从 Drupal.org 下载最新版本并替换模块文件来更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13982 是 Drupal Login Time Restriction 模块中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者执行未经授权的操作。
如果您正在使用 Drupal Login Time Restriction 模块的 0.0.0 版本之前的所有版本,以及 1.0.3 及更早版本,则可能受到影响。
升级 Drupal Login Time Restriction 模块到 1.0.3 或更高版本以修复此漏洞。
目前尚无公开的漏洞利用程序,但存在被利用的风险。
请查阅 Drupal 官方安全公告,以获取有关此漏洞的更多信息和修复建议。
上传你的 composer.lock 文件,立即知道是否受影响。