HIGHCVE-2026-4933CVSS 7.5

Drupal 未发布节点权限中的不正确的授权漏洞允许强制浏览。此问题影响未发布节点权限：从 0.0.0 到小于 1.7.0 的版本。

平台

drupal

组件

drupal

修复版本

1.7.0

8.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-4933 是 Drupal Unpublished Node Permissions 中发现的一个未授权访问漏洞，允许强制浏览。该漏洞影响 Drupal 版本小于或等于 8.x-1.7。已修复至 1.7.0 版本。

影响与攻击场景

Drupal 中 'Unpublished Node Permissions' 模块的 CVE-2026-4933 漏洞引入了 '不正确的授权' 漏洞，导致 '强制浏览' (Forceful Browsing)。这意味着攻击者可以在没有适当授权的情况下访问未发布的节点（页面、文章等）。这些节点仅供特定用户（如编辑或管理员）在创建或审查过程中查看。授权失败会绕过这些限制，从而可能将敏感信息或正在进行中的信息暴露给未经授权的用户。CVSS 分数为 7.5 表明存在高风险，需要立即关注。此漏洞影响 1.7.0 之前的模块版本。影响可能因未发布节点的内容以及其中包含的信息的敏感性而异。为了减轻这种风险，更新模块至关重要。

利用背景

利用此漏洞需要技术知识和对 Drupal 网站的访问权限。攻击者可能会使用 URL 操作或 HTTP 请求技术尝试访问未发布的节点。利用的复杂性取决于 Drupal 网站的配置和已实施的安全措施。攻击者必须识别未发布节点的 URL 结构，然后尝试直接访问它们，利用授权缺陷。访问这些节点所需的适当身份验证缺失是使利用成为可能的主要因素。此漏洞在开发或测试环境中特别令人担忧，因为未发布的节点可能包含敏感或不完整的信息。

哪些人处于风险中翻译中…

Websites using Drupal 8.x with the Unpublished Node Permissions module installed and configured with overly permissive access controls are at significant risk. Sites with a large volume of unpublished content, or those handling sensitive information in drafts, are particularly vulnerable. Shared hosting environments where users have limited control over module versions are also at increased risk.

检测步骤翻译中…

• drupal:

find /var/www/html/modules -name 'unpublish_node_permissions' -print

• drupal:

curl -I http://your-drupal-site.com/node/unpublished-node | grep 'HTTP/1.1 403' # Check for 403 Forbidden on unpublished nodes with proper access control

攻击时间线

2026-03-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

NextGuard10–15% 仍然脆弱

EPSS

0.04% (14% 百分位)

CVSS 向量

受影响的软件

组件drupal

供应商Drupal

影响范围修复版本

0.0.0 – 1.7.01.7.0

8.x-1.78.0.1

弱点分类 (CWE)

CWE-863

时间线

已保留2026-03-26
发布日期2026-03-26
修改日期2026-04-01
EPSS 更新日期2026-04-03

缓解措施和替代方案

CVE-2026-4933 的主要缓解措施是将 'Unpublished Node Permissions' 模块更新到 1.7.0 或更高版本。此更新将修复允许 '强制浏览' 的授权缺陷。在更新之前，强烈建议对 Drupal 网站进行完整备份，包括数据库和网站文件。更新后，必须进行彻底的测试，以确保网站功能保持完整，并且漏洞已有效解决。此外，审查并加强 Drupal 中用户权限策略，以确保只有授权用户才能访问未发布的节点。定期监控服务器日志以查找可疑活动也是一种良好的安全实践。

修复方法翻译中…

Actualice el módulo Unpublished Node Permissions a la versión 1.7.0 o superior. Esta versión corrige la vulnerabilidad de autorización incorrecta que permite la navegación forzada de contenido no publicado.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4933 是什么 — drupal 中的漏洞？

这些是在 Drupal 中创建的内容项（页面、文章等），但未公开。它们用于在发布前进行审查和编辑。

drupal 中的 CVE-2026-4933 是否会影响我？

检查 'Unpublished Node Permissions' 模块的版本。如果版本早于 1.7.0，则您的网站容易受到攻击。

如何修复 drupal 中的 CVE-2026-4933？

作为临时措施，请考虑将未发布节点访问限制为授权用户的有限组。

CVE-2026-4933 是否正在被积极利用？

目前没有用于检测此漏洞的特定工具，但建议进行手动安全审计。

在哪里可以找到 drupal 关于 CVE-2026-4933 的官方安全通告？

这表明存在高风险，这意味着漏洞很严重，需要及时解决。