漏洞详情

包管理工具: Composer 受影响的包: drupal/email_tfa 受影响版本: 2.0.6 之前的所有版本 (从 0.0.0 开始) 已修复版本: 2.0.6

漏洞描述

Drupal的Email TFA（双因素认证）模块存在一个“使用替代路径或通道的身份验证绕过”漏洞，允许攻击者绕过功能限制。具体而言，该问题属于CWE-288类弱点：产品要求身份验证，但产品存在一个不需要身份验证的替代路径或通道。

严重性评估

严重等级: 中等 CVSS v3.1 总体评分: 5.4/10 CVSS v3.1 基础向量: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

• 攻击向量（AV）: 网络
• 攻击复杂度（AC）: 低
• 所需权限（PR）: 低
• 用户交互（UI）: 无
• 范围（S）: 未改变
• 机密性影响（C）: 低
• 完整性影响（I）: 低
• 可用性影响（A）: 无

EPSS（漏洞利用预测评分系统）分数: 0.037% (第11百分位)，此分数估计了该漏洞在未来30天内被利用的概率。

参考信息

• NVD（美国国家漏洞数据库）详情: https://nvd.nist.gov/vuln/detail/CVE-2025-12760
• Drupal安全公告: https://www.drupal.org/sa-contrib-2025-115
• 源代码仓库: https://git.drupalcode.org/project/email_tfa

标识符

• CVE ID: CVE-2025-12760
• GitHub安全公告ID: GHSA-9jrw-jrrj-p6fr

时间线

• 由国家漏洞数据库发布: 2025年11月18日
• 由GitHub安全公告数据库发布: 2025年11月18日
• 审核: 2025年11月19日
• 最后更新: 2025年11月19日