Drupal on 办公AI智能小助手

Drupal核心存在访问控制安全级别配置不当漏洞

Mon, 12 Jan 2026 22:11:47 +0800

CVE-2025-13083

Drupal核心允许利用配置不当的访问控制安全级别

严重性：低
状态：GitHub已审核
发布时间： 2025年11月18日 (发布至GitHub Advisory Database)
最后更新： 2026年1月8日

漏洞详情

Dependabot警报：0

Drupal Webform多文件上传模块XSS漏洞剖析

Wed, 10 Dec 2025 08:52:38 +0800

CVE-2025-12848 - Webform Multiform渲染文件名时的XSS漏洞

概述

漏洞时间线

描述

Drupal 7.x的Webform Multiple File Upload模块在文件名渲染器中包含一个跨站脚本（XSS）漏洞。未经身份验证的攻击者可以通过向一个禁用了文件类型验证的、包含Multifile字段的Webform节点上传一个包含恶意JavaScript代码（例如，<img src=1 onerror=alert(document.domain)>）的文件名来利用此漏洞。这允许在受害者浏览器的上下文中执行任意脚本。

Drupal Email TFA模块的身份验证绕过漏洞解析：CVE-2025-12760

Wed, 10 Dec 2025 01:38:44 +0800

漏洞详情

包管理工具: Composer 受影响的包: drupal/email_tfa 受影响版本: 2.0.6 之前的所有版本 (从 0.0.0 开始) 已修复版本: 2.0.6

漏洞描述

Drupal的Email TFA（双因素认证）模块存在一个“使用替代路径或通道的身份验证绕过”漏洞，允许攻击者绕过功能限制。具体而言，该问题属于CWE-288类弱点：产品要求身份验证，但产品存在一个不需要身份验证的替代路径或通道。

Drupal Email TFA身份验证绕过漏洞CVE-2025-12760技术分析

Thu, 04 Dec 2025 08:53:08 +0800

漏洞详情

CVE ID: CVE-2025-12760 GHSA ID: GHSA-9jrw-jrrj-p6fr 严重等级: 中等 (CVSS评分：5.4) 影响范围: Drupal Email TFA 模块版本 0.0.0 至 2.0.6（不含2.0.6） 已修复版本: 2.0.6

漏洞描述

Drupal Email TFA 模块中存在“使用替代路径或通道进行身份验证绕过”漏洞，允许攻击者实现功能绕过。该问题影响了 Email TFA 模块从初始版本到 2.0.6 之前的所有版本。

Symfony技术周报：PHP框架更新与Web开发前沿动态

Mon, 13 Oct 2025 18:03:20 +0800

Symfony Station Communiqué - 星际日期：✦ 2025年9月26日 ✦：最新Symfony、Drupal、TYPO3和PHP新闻！

欢迎阅读本周的Symfony Station公报。这是您了解Symfony和PHP开发社区重要新闻的每周汇总，重点关注保护民主的相关内容。

Drupal CVE-2018-7600远程代码执行漏洞利用详解

Sat, 11 Oct 2025 05:16:11 +0800

CVE-2018-7600 - Drupal 7远程代码执行

概述

这是一个针对易受攻击的Drupal 7安装的CVE-2018-7600漏洞的Rust实现利用工具。该漏洞利用Drupal在处理表单缓存时的缺陷，通过在POST请求中操纵form_build_id参数，当Drupal渲染缓存元素时，#post_render回调会执行攻击者控制的标记，从而实现命令执行。