CVE-2025-13083

Drupal核心允许利用配置不当的访问控制安全级别

• 严重性：低
• 状态：GitHub已审核
• 发布时间： 2025年11月18日 (发布至GitHub Advisory Database)
• 最后更新： 2026年1月8日

漏洞详情

Dependabot警报：0

受影响的软件包

• 包管理器： Composer
• 包名： drupal/core

受影响的版本

• >= 8.0.0, < 10.4.9
• >= 10.5.0, < 10.5.6
• >= 11.0.0, < 11.1.9
• >= 11.2.0, < 11.2.8
• >= 7.0, < 7.103

已修补的版本

• 10.4.9
• 10.5.6
• 11.1.9
• 11.2.8
• 7.103

描述 Drupal核心中的"使用包含敏感信息的Web浏览器缓存"漏洞允许攻击者利用配置不当的访问控制安全级别。此问题影响Drupal核心的以下版本：从8.0.0到10.4.9之前，从10.5.0到10.5.6之前，从11.0.0到11.1.9之前，从11.2.0到11.2.8之前，从7.0到7.103之前。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-13083
• https://www.drupal.org/sa-core-2025-008

发布时间线

• 由国家漏洞数据库发布： 2025年11月18日
• 发布至GitHub Advisory Database： 2025年11月18日
• 审核时间： 2025年11月18日

严重性

• 等级： 低
• CVSS总体评分：1.7/10

CVSS v4 基础指标

可利用性指标

• 攻击向量： 网络
• 攻击复杂性： 低
• 攻击要求： 存在
• 所需权限： 无
• 用户交互： 无

易受攻击系统的影响指标

• 机密性： 低
• 完整性： 无
• 可用性： 无

后续系统的影响指标

• 机密性： 无
• 完整性： 无
• 可用性： 无

CVSS向量表示 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U

EPSS 评分

• 评分： 0.053% (第17百分位数)
• 此评分估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

• 弱点ID： CWE-525
• 名称： 使用包含敏感信息的Web浏览器缓存
• 描述： Web应用程序未使用适当的缓存策略来指定每个网页及相关表单字段应被缓存的程度。
• 在MITRE上了解更多信息。

标识符

• CVE ID： CVE-2025-13083
• GHSA ID： GHSA-mhpg-hpj5-73r2
• 源代码： drupal/core

此公告已被编辑。请查看历史记录。