MEDIUMCVE-2025-31675CVSS 5.4

CVE-2025-31675：Drupal核心XSS漏洞(8.0.0-11.1.5)

平台

drupal

组件

drupal

修复版本

10.3.14

10.4.5

11.0.13

11.1.5

7.0.1

10.3.14

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年4月

在NVD查看

保存

CVE-2025-31675是Drupal核心中发现的一个跨站脚本（XSS）漏洞，允许攻击者在受影响的网站上注入并执行恶意脚本。成功利用此漏洞可能导致用户会话劫持、敏感信息泄露或网站内容篡改。此漏洞影响Drupal核心的8.0.0到11.1.5版本。该漏洞已在Drupal核心版本11.1.5中得到修复。

影响与攻击场景

Drupal Core 中的 CVE-2025-31675 代表着一个跨站脚本 (XSS) 漏洞。这意味着攻击者可以将恶意代码注入到 Drupal 网站的网页中，这些网页随后会在访问这些网页的用户浏览器中执行。潜在的影响包括窃取敏感信息（如会话 cookie）、将用户重定向到恶意网站或修改页面内容。此漏洞影响多个 Drupal Core 版本：从 8.0.0 到 10.3.13，从 10.4.0 到 10.4.4，从 11.0.0 到 11.0.12，以及从 11.1.0 到 11.1.4。为了减轻此风险，至关重要的是将 Drupal Core 更新到已修复的版本。此问题的根本原因是 Web 页面生成过程中输入未得到适当的清理，从而允许恶意代码注入。

利用背景

此漏洞是通过将恶意代码注入到未在 Web 页面上显示之前未得到适当清理的输入字段中来利用的。攻击者可以利用此漏洞在表单、评论或用户可以输入数据的任何其他字段中插入恶意脚本。这些脚本将在用户的浏览器中执行，从而使攻击者能够执行恶意操作。利用的复杂性取决于漏洞的具体位置和 Drupal 网站的配置。缺乏对用户输入的验证和转义是使此 XSS 漏洞能够被利用的关键因素。

哪些人处于风险中翻译中…

Websites running Drupal Core versions 8.0.0 before 10.3.14, 10.4.0 before 10.4.5, 11.0.0 before 11.0.13, and 11.1.0 before 11.1.5 are at risk. This includes organizations relying on Drupal for content management, e-commerce, or other web applications, particularly those with user-generated content or forms that accept user input.

检测步骤翻译中…

• drupal: Check Drupal core version using drush --version. • drupal: Review Drupal logs (sites/[site]/logs/drupal.log) for suspicious JavaScript injection attempts. • generic web: Use curl -I <URL> to inspect response headers for unusual script tags or encoded characters. • generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be exploited for XSS.

攻击时间线

2025-04-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard83% 仍然脆弱

EPSS

0.27% (50% 百分位)

CVSS 向量

受影响的软件

组件drupal

供应商osv

影响范围修复版本

8.0.0 – 10.3.1410.3.14

10.4.0 – 10.4.510.4.5

11.0.0 – 11.0.1311.0.13

11.1.0 – 11.1.511.1.5

7.x-1.0 – 7.x-1.127.0.1

8.0.010.3.14

弱点分类 (CWE)

CWE-79

时间线

已保留2025-03-31
发布日期2025-04-01
修改日期2026-04-06
EPSS 更新日期2026-03-23

披露后-12天发布补丁

缓解措施和替代方案

减轻 CVE-2025-31675 的主要解决方案是将 Drupal Core 更新到 10.3.14 或更高版本、10.4.5 或更高版本、11.0.13 或更高版本或 11.1.5 或更高版本。这些版本包含防止 XSS 代码注入的必要修复。此外，请审查并更新任何可能与用户输入交互的自定义或第三方模块。实施内容安全策略 (CSP) 可以通过限制浏览器可以加载的内容源来提供额外的保护层。监控服务器日志以查找可疑活动也可以帮助检测和响应潜在攻击。应用这些安全措施将有助于保护您的 Drupal 网站免受此漏洞的利用。

修复方法翻译中…

Actualice Drupal core a la última versión disponible. Si está utilizando una versión anterior a la 10.3.x, actualice a la versión 10.3.14 o superior. Si está utilizando la versión 10.4.x, actualice a la versión 10.4.5 o superior. Si está utilizando la versión 11.0.x, actualice a la versión 11.0.13 o superior. Si está utilizando la versión 11.1.x, actualice a la versión 11.1.5 o superior. Si está utilizando la versión 7.x-1.x, actualice a una versión posterior a 7.x-1.12.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-31675 是什么 — Drupal Core 中的 Cross-Site Scripting (XSS)？

受影响的版本包括 Drupal Core 8.0.0 到 10.3.13，10.4.0 到 10.4.4，11.0.0 到 11.0.12，以及 11.1.0 到 11.1.4。

Drupal Core 中的 CVE-2025-31675 是否会影响我？

您可以在网站的管理页面中的“网站信息”部分检查 Drupal Core 版本。

如何修复 Drupal Core 中的 CVE-2025-31675？

XSS (跨站脚本) 是一种安全漏洞，允许攻击者将恶意脚本注入到网站中。

CVE-2025-31675 是否正在被积极利用？

CSP 是一种安全机制，允许网站管理员控制浏览器可以加载的内容源，从而降低 XSS 攻击的风险。

在哪里可以找到 Drupal Core 关于 CVE-2025-31675 的官方安全通告？

您可以在 Drupal 安全页面上找到有关 CVE-2025-31675 的更多信息: [https://www.drupal.org/security/announce/11846931](https://www.drupal.org/security/announce/11846931)