平台
drupal
组件
drupal
修复版本
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-3057 是 Drupal 核心中的一个跨站脚本攻击 (XSS) 漏洞,由于网页生成过程中输入未被正确过滤,攻击者可以注入恶意脚本。成功利用此漏洞可能导致敏感信息泄露或用户会话劫持。此漏洞影响 Drupal 核心版本 8.0.0 之前的 10.3.13,10.4.0 之前的 10.4.3,11.0.0 之前的 11.0.12,以及 11.1.0 之前的 11.1.3。已发布安全补丁,建议及时升级。
Drupal Core 中的 CVE-2025-3057 漏洞代表着跨站脚本攻击 (XSS) 的风险。这意味着攻击者可能将恶意代码注入到 Drupal 网页中,这些代码将在访问这些网页的用户浏览器中执行。影响范围可能从窃取会话 Cookie 和将用户重定向到恶意网站,到修改网页内容。此漏洞影响 Drupal Core 的多个版本,包括 8.0.0 到 10.3.13、10.4.0 到 10.4.3、11.0.0 到 11.0.12 和 11.1.0 到 11.1.3 的版本。该漏洞在 CVSS 量表上评为 6.1,表明中等风险。为了降低这种风险,必须将 Drupal 更新到已修复的版本。
此漏洞是由于在网页生成过程中输入未正确中和而引起的。攻击者可以通过注入未经适当清理的输入字段中的恶意 JavaScript 代码来利用此漏洞。此代码将在用户浏览器中执行,从而使攻击者能够执行各种恶意操作。利用环境取决于特定的 Drupal 站点配置和易受攻击的输入字段。缺乏对用户输入的适当验证和转义是此漏洞的根本原因。Drupal 站点管理员应了解此漏洞并采取措施保护其网站。
漏洞利用状态
EPSS
0.35% (57% 百分位)
CVSS 向量
CVE-2025-3057 的解决方案是将 Drupal Core 更新到包含修复程序的版本。具体来说,请更新到 10.3.13 或更高版本、10.4.3 或更高版本、11.0.12 或更高版本或 11.1.3 或更高版本。除了更新之外,还应审查自定义代码以识别和修复任何潜在的 XSS 漏洞。实施内容安全策略 (CSP) 可以帮助减轻 XSS 攻击的影响,即使应用程序尚未完全修补。监控服务器日志以查找可疑活动也是一种很好的安全实践。应尽快执行更新,以最大限度地减少攻击者利用漏洞的机会。
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1, actualice a la versión 11.1.3 o superior.
漏洞分析和关键警报直接发送到您的邮箱。
受影响的版本包括 Drupal Core 8.0.0 到 10.3.13、10.4.0 到 10.4.3、11.0.0 到 11.0.12 和 11.1.0 到 11.1.3 的版本。
您可以在站点的管理页面中的“站点信息”部分验证 Drupal 版本。
XSS (跨站脚本攻击) 是一种安全漏洞类型,允许攻击者将恶意脚本注入到其他用户查看的网页中。
CSP (内容安全策略) 是一种安全机制,允许网站管理员控制浏览器允许加载的资源,从而控制网页。
您可以在 Drupal 网站和 CVE 等漏洞数据库中找到更多信息。
上传你的 composer.lock 文件,立即知道是否受影响。