Drupal Email TFA身份验证绕过漏洞CVE-2025-12760技术分析

本文详细分析了Drupal Email TFA模块中的一个中危漏洞(CVE-2025-12760)。该漏洞属于“使用替代路径或通道的身份验证绕过”类型,允许攻击者在特定条件下绕过双重认证功能,影响2.0.6之前的所有版本。

漏洞详情

CVE ID: CVE-2025-12760 GHSA ID: GHSA-9jrw-jrrj-p6fr 严重等级: 中等 (CVSS评分:5.4) 影响范围: Drupal Email TFA 模块版本 0.0.0 至 2.0.6(不含2.0.6) 已修复版本: 2.0.6

漏洞描述

Drupal Email TFA 模块中存在“使用替代路径或通道进行身份验证绕过”漏洞,允许攻击者实现功能绕过。该问题影响了 Email TFA 模块从初始版本到 2.0.6 之前的所有版本。

技术特征

CVSS v3.1 基准指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 所需权限 (PR): 低 (L)
  • 用户交互 (UI): 无 (N)
  • 范围 (S): 未改变 (U)
  • 机密性影响 (C): 低 (L)
  • 完整性影响 (I): 低 (L)
  • 可用性影响 (A): 无 (N)

CVSS向量字符串: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

弱点分类

  • CWE ID: CWE-288
  • 弱点描述: 身份验证绕过使用替代路径或通道
  • 详细说明: 产品需要身份验证,但产品存在不需要身份验证的替代路径或通道。

参考信息

时间线

  • NVD发布日期: 2025年11月18日
  • GitHub咨询数据库发布日期: 2025年11月18日
  • GitHub审核日期: 2025年11月19日
  • 最后更新日期: 2025年11月19日

威胁指标

  • EPSS评分: 0.037% (第11百分位)
  • 解释: EPSS(漏洞利用预测评分系统)估计此漏洞在未来30天内被利用的概率为0.037%,属于较低风险水平。

修复建议

受影响用户应立即将 Drupal Email TFA 模块升级至 2.0.6 或更高版本,以修复此身份验证绕过漏洞。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次