MEDIUMCVE-2025-8361

配置页面 - 中等严重 - 访问绕过 - SA-CONTRIB-2025-093

平台

drupal

组件

config_pages

修复版本

2.18.0

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-8361描述了Drupal Config Pages组件中存在的缺失授权漏洞，允许攻击者进行强制浏览。此漏洞可能导致未经授权的访问敏感配置信息，从而带来潜在的数据泄露风险。该漏洞影响Drupal Config Pages版本从0.0.0到2.18.0，建议用户尽快升级至2.18.0版本以修复此安全问题。

影响与攻击场景

强制浏览漏洞允许攻击者绕过正常的访问控制机制，直接访问系统中的敏感资源。在Drupal Config Pages中，这意味着攻击者可能能够未经授权地查看和修改配置设置，例如数据库连接信息、API密钥或其他敏感数据。攻击者可以利用这些信息来进一步破坏系统，例如窃取数据、篡改配置或执行恶意代码。由于Drupal Config Pages通常用于管理网站的配置，因此该漏洞的影响范围可能非常广泛，可能影响整个网站的安全性。

利用背景

该漏洞已公开披露，目前尚未观察到大规模利用。CISA尚未将其添加到KEV目录。建议密切关注安全社区的动态，以获取有关此漏洞的最新信息。由于该漏洞允许未经授权访问敏感配置信息，因此存在被恶意利用的风险。

哪些人处于风险中翻译中…

Drupal sites utilizing the Config Pages module, particularly those with older versions (0.0.0 - 2.18.0), are at risk. Shared hosting environments where multiple Drupal sites share the same server configuration are also at increased risk, as a compromise of one site could potentially expose configuration data for others.

检测步骤翻译中…

• drupal: Examine Drupal logs for unusual access attempts to configuration endpoints. Look for requests originating from unexpected IP addresses or user agents.

journalctl -u apache2 -f | grep "Config Pages"

• generic web: Use curl to attempt accessing configuration endpoints without authentication. A successful response indicates potential exploitation.

curl -I http://your-drupal-site.com/admin/config/config-pages/sensitive-setting

攻击时间线

2025-08-15Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.04% (13% 百分位)

受影响的软件

组件config_pages

供应商Drupal

影响范围修复版本

0.0.0 – 2.18.02.18.0

弱点分类 (CWE)

CWE-962

时间线

已保留2025-07-30
发布日期2025-08-15
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级Drupal Config Pages至2.18.0版本或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑实施一些临时缓解措施，例如限制对Config Pages组件的访问，仅允许授权用户访问。此外，建议审查所有配置设置，确保没有暴露敏感信息。在升级后，请验证配置是否正常工作，并检查系统日志中是否有任何异常活动。

修复方法翻译中…

Actualice el módulo Config Pages a la versión 2.18.0 o superior. Esta actualización corrige la vulnerabilidad de omisión de autorización. Puede actualizar a través de la interfaz de administración de Drupal o utilizando Composer.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-8361 — 强制浏览漏洞在Drupal Config Pages中？

CVE-2025-8361描述了Drupal Config Pages组件中存在的缺失授权漏洞，允许攻击者进行强制浏览，可能导致未经授权访问敏感配置信息。

我是否受到CVE-2025-8361在Drupal Config Pages中的影响？

如果您正在使用Drupal Config Pages版本0.0.0到2.18.0，则可能受到此漏洞的影响。请立即升级至2.18.0或更高版本。

我如何修复CVE-2025-8361在Drupal Config Pages中？

最有效的修复方法是升级Drupal Config Pages至2.18.0版本或更高版本。

CVE-2025-8361是否正在被积极利用？

目前尚未观察到大规模利用，但存在被恶意利用的风险。建议密切关注安全社区的动态。

在哪里可以找到Drupal官方关于CVE-2025-8361的公告？

请访问Drupal官方安全公告页面，查找关于CVE-2025-8361的详细信息：[https://www.drupal.org/security/advisories](https://www.drupal.org/security/advisories)