平台
drupal
组件
drupal
修复版本
1.7.0
2.0.2
8.0.1
CVE-2026-4393描述了Drupal Automated Logout模块中的跨站请求伪造(CSRF)漏洞。该漏洞允许攻击者在受害者不知情的情况下执行未经授权的操作,可能导致数据泄露或系统破坏。该漏洞影响Drupal 2.0.0到8.x-1.7版本。已发布补丁,建议尽快升级。
攻击者可以利用此CSRF漏洞伪造请求,冒充受害者用户执行各种操作,例如修改配置、删除数据或执行其他敏感操作。由于Drupal Automated Logout模块通常用于管理用户会话超时设置,攻击者可能利用此漏洞绕过安全措施,从而获得对系统的未经授权访问。如果攻击者能够成功利用此漏洞,可能导致敏感信息泄露、系统配置被篡改,甚至可能导致更严重的后果,例如远程代码执行,具体取决于系统的其他配置和权限。
该漏洞已公开披露,且CVSS评分为中等。目前尚未观察到大规模的利用活动,但由于CSRF漏洞相对容易利用,因此存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Websites using Drupal with the Automated Logout module installed, particularly those running vulnerable versions (2.0.0–8.x-1.7). Sites with less stringent access controls to the Automated Logout configuration are at higher risk.
• drupal / module: Check Drupal module versions for Automated Logout.
drush pm-info --title --core --modules --themes --profiles | grep Automated Logout• drupal / configuration: Review Automated Logout configuration settings for unexpected changes. • generic web: Monitor access logs for suspicious requests targeting Automated Logout endpoints.
disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CVSS 向量
最有效的缓解措施是升级Drupal Automated Logout模块至2.0.2版本或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如在关键操作上启用CSRF令牌验证。此外,建议审查Drupal的访问控制策略,确保只有授权用户才能访问敏感功能。如果使用Web应用防火墙(WAF),可以配置规则以检测和阻止CSRF攻击。升级后,请确认模块已成功更新,并测试关键功能以确保其正常运行。
将 Automated Logout 模块更新到 1.7.0 或更高版本,或 2.0.2 或更高版本,具体取决于您的版本分支。这将修复跨站请求伪造 (CSRF) 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4393是一个跨站请求伪造(CSRF)漏洞,影响Drupal Automated Logout模块的2.0.0–8.x-1.7版本。攻击者可以利用此漏洞伪造请求,冒充受害者用户执行未经授权的操作。
如果您正在使用Drupal Automated Logout模块,且版本低于2.0.2,那么您可能受到此漏洞的影响。请立即检查您的模块版本并升级。
升级Drupal Automated Logout模块至2.0.2版本或更高版本是修复此漏洞的最佳方法。请确保在升级前备份您的网站。
目前尚未观察到大规模的利用活动,但由于CSRF漏洞相对容易利用,因此存在被攻击者的利用的可能性。建议密切关注安全社区的动态。
请访问Drupal官方安全公告页面,搜索CVE-2026-4393以获取更多信息:[https://www.drupal.org/security/advisories](https://www.drupal.org/security/advisories)
上传你的 composer.lock 文件,立即知道是否受影响。