平台
drupal
组件
drupal
修复版本
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31673 是 Drupal 核心中发现的一个权限错误漏洞,允许攻击者进行强制浏览攻击。这种攻击可能导致未经授权的数据访问,威胁网站的安全性。该漏洞影响 Drupal 核心版本 8.0.0 之前的 10.3.13、10.4.0 之前的 10.4.3、11.0.0 之前的 11.0.12 以及 11.1.0 之前的 11.1.3。已发布修复补丁,建议尽快更新。
Drupal Core 中的 CVE-2025-31673 是一种不正确的授权漏洞,导致强制浏览 (Forceful Browsing)。这意味着攻击者可能无需适当的凭据即可访问 Drupal 站点上的敏感信息或执行未经授权的操作。此漏洞影响 Drupal Core 的多个版本:8.0.0 之前的 10.3.13、10.4.0 之前的 10.4.3、11.0.0 之前的 11.0.12 和 11.1.0 之前的 11.1.3。CVSS 分数为 4.6,表明风险中等。如果攻击成功,可能导致数据泄露、权限提升或其他恶意活动。问题的核心在于访问某些资源时未充分验证用户权限。
强制浏览发生在攻击者无需适当授权即可访问网站内的页面或资源时。在 Drupal 的上下文中,这可能包括通过操纵 URL 或请求参数来访问配置文件、管理页面或敏感数据。攻击者可以使用自动化扫描工具来识别授权方面的漏洞并利用此漏洞。Exploit 的成功取决于特定的 Drupal 站点配置和已实施的安全措施。在某些路由上缺乏适当的权限验证是此漏洞的主要原因。
漏洞利用状态
EPSS
0.28% (51% 百分位)
CVSS 向量
减轻此漏洞的建议措施是将其更新到最新可用的版本:10.3.13、10.4.3、11.0.12 或 11.1.3,具体取决于您的当前版本。及时应用此更新对于保护您的网站免受潜在攻击至关重要。此外,请审查用户权限和角色,以确保仅授权用户才能访问站点的敏感区域。定期安全审计也有助于识别和解决其他潜在漏洞。更新是消除此威胁的最有效和直接的解决方案。
Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.13 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.3 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.12 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.3 o superior.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种攻击技术,允许攻击者在没有适当授权的情况下访问页面或资源。
Drupal 8.0.0 - 10.3.12、10.4.0 - 10.4.2、11.0.0 - 11.0.11 和 11.1.0 - 11.1.2。
访问 Drupal 管理面板,并在站点信息部分检查版本。
实施额外的安全措施,例如加强用户权限和监控网站是否存在可疑活动。
Web 安全扫描程序可以检测此漏洞,但更新仍然是最有效的解决方案。
上传你的 composer.lock 文件,立即知道是否受影响。