Drupal 10.3.x < 10.3.14 / 10.4.x < 10.4.5 / 11.x < 11.0.13 / 11.1.x < 11.1.5 Drupal 漏洞 (SA-CORE-2025-004)
medium Nessus 插件 ID 232982
语言:
简介
远程 Web 服务器上运行的 PHP 应用程序受到一个漏洞的影响。描述
根据其自我报告的版本,远程 Web 服务器上运行的 Drupal 实例为低于 10.3.14 的 10.3.x,低于 10.4.5 的 10.4.x、低于 11.0.13 的 11.x 或低于 11.1.5 的 11.1.x。因此,该软件受到一个漏洞影响。- Drupal Core 中的网页生成期间输入不当中和(“跨站脚本”)漏洞允许跨站脚本 (XSS)。此问题影响 Drupal Core:来自 10.3.14 之前的 8.0.0 版、来自 10.4.5 之前的 10.4.0 版、来自 11.0.13 之前的 11.0.0 版、来自 11.1.5 之前的 11.1.0 版。
(CVE-2025-31675)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级版本到 Drupal 10.3.14 / 10.4.5 / 11.0.13 / 11.1.5 或更高版本。另见
https://www.drupal.org/sa-core-2025-004
https://www.drupal.org/project/drupal/releases/10.3.14
https://www.drupal.org/project/drupal/releases/10.4.5
插件详情
严重性: Medium
ID: 232982
文件名: drupal_11_1_5.nasl
版本: 1.3
类型: remote
系列: CGI abuses
发布时间: 2025/3/20
最近更新时间: 2025/4/4
配置: 启用偏执模式, 启用全面检查 (optional)
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.0
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2025-31675
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.3
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:drupal:drupal
必需的 KB 项: Settings/ParanoidReport, installed_sw/Drupal
易利用性: No known exploits are available
补丁发布日期: 2025/3/19
漏洞发布日期: 2025/3/19
参考资料信息
CVE: CVE-2025-31675
IAVA: 2025-A-0208