在 Drupal 7 Internationalization (i18n) 模块中，i18n_node 子模块允许具有“翻译内容”和“管理内容翻译”权限的用户通过翻译 UI 及其自动完成小部件查看和附加未发布的节点。这绕过了预期的访问控制，并泄露了未发布的节点标题和 ID。 漏洞影响版本 7.x-1.0 到包括 7.x-1.35 在内的版本。

Drupal 7 的国际化 (i18n) 模块中的 CVE-2026-0748 允许具有“翻译内容”和“管理内容翻译”权限的用户通过翻译 UI 及其自动完成小部件查看和附加未发布的节点。这绕过了预期的访问控制，并公开了未发布节点的标题和 ID。此漏洞对 Drupal 7 站点构成重大风险，尤其是那些在发布前处理敏感或机密信息的站点。访问未发布内容的可能性可能导致数据泄露并损害站点的完整性。由于所需的权限相对常见，因此存在被利用的可能性增加。公开节点 ID 可能会促进对站点其他组件的进一步攻击。由于没有直接的修复 (fix: none)，因此必须立即采取缓解措施以保护易受攻击的站点。

Websites running Drupal 7 with the Internationalization (i18n) module installed are at risk. Specifically, sites where users have been granted both "Translate content" and "Administer content translations" permissions are particularly vulnerable, even if those users are not typically involved in content creation.

• wordpress / composer / npm:

grep -r "i18n_node_autocomplete" /var/www/drupal7/

• generic web:

curl -I http://your-drupal-site.com/admin/config/regional/i18n-node

• generic web: Check Drupal logs for unusual activity related to node translations or access attempts by users with 'Translate content' and 'Administer content translations' permissions.

1. 2026-03-26Disclosure

   disclosure

1. 已保留2026-01-08
2. 发布日期2026-03-26
3. 修改日期2026-04-01
4. EPSS 更新日期2026-04-03

由于没有官方修复 (fix: none)，缓解 CVE-2026-0748 需要谨慎的方法。主要建议是将“翻译内容”和“管理内容翻译”权限严格限制到绝对最小的需求。进行全面的权限审计，以识别和更正配置错误。如果该模块对于站点功能不是必不可少的，请考虑禁用 i18n 模块。积极监控站点日志中与翻译界面相关的可疑活动。实施最小权限原则是找到替代解决方案之前可用的最佳防御。升级到 Drupal 的更新版本（7.x 以上）是最安全的长期解决方案，但需要仔细规划和执行。