HIGHCVE-2025-14840CVSS 7.5

Drupal HTTP客户端管理器中的不当异常或特殊情况检查漏洞允许强制浏览。此问题影响 HTTP Client Manager：从 0.0.0 到 9.3.13 之前版本，从 10.0.0 到 10.0.2 之前版本，从 11.0.0 到 11.0.1 之前版本。

平台

drupal

组件

drupal

修复版本

9.3.13

10.0.2

11.0.1

9.3.14

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-14840 是 Drupal HTTP 客户端管理器中发现的一个漏洞，由于未对异常情况进行适当检查，导致允许强制浏览。此漏洞可能允许攻击者进行未经授权的导航，从而可能导致敏感信息泄露或未经授权的访问。该漏洞影响 Drupal 核心的 10.0.0 到 10.0.2 版本。目前已发布修复程序，建议用户尽快升级。

影响与攻击场景

CVE-2025-14840 是 Drupal HTTP 客户端管理器中的一个漏洞，允许进行强制浏览攻击。这是由于 HTTP 请求中对不寻常或异常条件的不充分检查造成的。攻击者可以利用此漏洞访问通常无法从外部访问的内部资源，从而可能泄露敏感信息或执行未经授权的操作。CVSS 严重程度评分为 7.5，表明存在高风险。此漏洞影响 HTTP 客户端管理器模块的特定版本：0.0.0 之前的 9.3.13、10.0.0 之前的 10.0.2 和 11.0.0 之前的 11.0.1。为了降低此风险，必须更新到已修补的版本。

利用背景

攻击者可以通过向 Drupal 的 HTTP 客户端管理器发送精心制作的 HTTP 请求来利用此漏洞。由于对不寻常条件缺乏充分的验证，攻击者可以操纵 HTTP 客户端的行为，并强制其访问不应公开的资源。这可能涉及使用诸如操作 HTTP 标头或注入恶意 URL 之类的技术。利用成功的关键取决于 Drupal 网站的配置以及是否存在易受攻击的内部资源。由于没有立即的修复，未更新的网站容易受到此类攻击。

哪些人处于风险中翻译中…

Organizations and individuals using Drupal Core versions 10.0.0–10.0.2 and 11.0.0 are at risk. This includes websites, applications, and services built on Drupal that rely on the HTTP Client Manager for external communication. Shared hosting environments utilizing these vulnerable Drupal versions are particularly susceptible.

检测步骤翻译中…

• drupal: Check Drupal core version using drush --version. If the version is within the affected range (10.0.0–10.0.2 or 11.0.0), investigate further. • drupal: Examine Drupal logs (sites/[site]/logs/drupal.log) for unusual HTTP requests or redirects. • generic web: Use curl to test for potential URL redirection vulnerabilities. For example: curl -v https://[yourdrupalsite]/path/to/vulnerable/endpoint and examine the response headers. • generic web: Review access logs for suspicious patterns of requests to internal or unexpected URLs.

攻击时间线

2026-01-28Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard50% 仍然脆弱

EPSS

0.06% (19% 百分位)

CVSS 向量

受影响的软件

组件drupal

供应商Drupal

影响范围修复版本

0.0.0 – 9.3.139.3.13

10.0.0 – 10.0.210.0.2

11.0.0 – 11.0.111.0.1

9.3.139.3.14

弱点分类 (CWE)

CWE-754

时间线

已保留2025-12-17
发布日期2026-01-28
修改日期2026-02-06
EPSS 更新日期2026-03-23

未修复 — 披露已116天

缓解措施和替代方案

CVE-2025-14840 的解决方案是将 HTTP 客户端管理器模块更新到已修补的版本。具体来说，根据您使用的 Drupal 版本，更新到 9.3.13 或更高版本、10.0.2 或更高版本或 11.0.1 或更高版本。Drupal 已发布这些更新以解决此漏洞。在将其应用于生产环境之前，建议在测试环境中执行更新。此外，请检查您的 Drupal 网站的安全配置，以确保遵循最佳实践，例如限制对敏感资源的访问和使用强密码。虽然没有立即的解决方法，但更新是保护您的网站的最有效方法。

修复方法翻译中…

Actualice el módulo HTTP Client Manager a la versión 9.3.13 o superior, 10.0.2 o superior, o 11.0.1 o superior. Esto corregirá la vulnerabilidad de comprobación incorrecta de condiciones inusuales o excepcionales que permite la navegación forzada.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-14840 是什么 — Drupal Core 中的漏洞？

这是一种攻击，攻击者通过操纵 HTTP 请求来访问通常不可用的资源。

Drupal Core 中的 CVE-2025-14840 是否会影响我？

这可能允许攻击者访问敏感信息或执行未经授权的操作。

如何修复 Drupal Core 中的 CVE-2025-14840？

虽然这不是一个解决方案，但请检查您的安全配置并限制对敏感资源的访问。

CVE-2025-14840 是否正在被积极利用？

在 Drupal 网站和 Drupal 模块存储库中。

在哪里可以找到 Drupal Core 关于 CVE-2025-14840 的官方安全通告？

是的，漏洞扫描程序可以识别您 Drupal 网站上的此漏洞。