平台
drupal
组件
drupal
修复版本
10.3.13
10.4.3
11.0.12
11.1.3
10.3.13
10.3.13
10.3.13
10.3.13
CVE-2025-31674 describes an Object Injection vulnerability within Drupal Core. This flaw allows for Improperly Controlled Modification of Dynamically-Determined Object Attributes, potentially leading to unauthorized actions or data manipulation. This affects Drupal core versions from 8.0.0 before 10.3.13, 10.4.0 before 10.4.3, 11.0.0 before 11.0.12, and 11.1.0 before 11.1.3. The vulnerability is fixed in version 10.3.13.
CVE-2025-31674 是 Drupal core 中的对象注入漏洞,允许攻击者以不受控制的方式修改动态确定的对象属性。这可能导致远程代码执行、权限提升或拒绝服务,具体取决于注入的使用方式。此漏洞影响 Drupal core 的 8.0.0 到 10.3.12、10.4.0 到 10.4.2、11.0.0 到 11.0.11 和 11.1.0 到 11.1.2 版本。此漏洞的严重程度很高,因为攻击者可能无需身份验证即可利用它。对象注入是一个关键漏洞,需要立即关注以防止安全漏洞。
此漏洞是通过操作动态确定的对象属性来利用的。攻击者可以将恶意代码注入到对象的属性中,Drupal 将执行该代码。缺乏适当的输入验证允许攻击者控制这些属性的值。利用上下文取决于 Drupal 网站的特定配置和安装的模块。要有效地利用此漏洞,需要深入了解 Drupal 的内部工作原理。在某些情况下,缺少必需的身份验证会简化利用过程,从而增加了易受攻击网站的风险。
漏洞利用状态
EPSS
1.04% (77% 百分位)
针对 CVE-2025-31674 的主要缓解措施是将 Drupal core 更新到版本 10.3.13、10.4.3、11.0.12 或 11.1.3。这些版本包含解决漏洞所需的补丁。此外,建议审查已安装的第三方模块,以确保它们也已更新并且不会引入新的漏洞。实施适当的安全实践,例如输入验证和数据清理,也可以帮助降低被利用的风险。监控服务器日志以查找可疑活动对于检测和响应潜在攻击至关重要。对 Drupal 网站进行定期安全审计有助于在漏洞被利用之前识别和修复漏洞。
Actualice Drupal core a la última versión disponible. Específicamente, actualice a la versión 10.3.13 o superior, 10.4.3 o superior, 11.0.12 o superior, o 11.1.3 o superior, dependiendo de la rama de Drupal que esté utilizando. Esto solucionará la vulnerabilidad de inyección de objetos.
漏洞分析和关键警报直接发送到您的邮箱。
对象注入是一种漏洞,允许攻击者操作程序中对象的属性,从而可能导致恶意代码的执行。
如果您的 Drupal 网站使用易受攻击的版本,则攻击者可以在您的服务器上执行恶意代码,从而危及您网站和数据的安全。
如果无法立即更新,请考虑实施临时缓解措施,例如限制对网站某些区域的访问以及监控服务器日志。
有漏洞扫描器可以检测 CVE-2025-31674。您还可以检查服务器日志以查找可疑活动。
您可以在国家漏洞数据库 (NVD) 网站和 Drupal 文档中找到有关 CVE-2025-31674 的更多信息。
上传你的 composer.lock 文件,立即知道是否受影响。