Drupal 10.4.x < 10.4.5 跨網站指令碼
medium Web App Scanning Plugin ID 114678
語言:
概要
Drupal 10.4.x < 10.4.5 跨網站指令碼說明
根據應用程式自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 11.1.5 之前的 11.1.x 版、11.0.13 之前的 11.0.x 版、10.4.5 之前的 10.4.x 版或 10.3.14 之前的 8.x 版。未充分清理 Drupal 核心 Link 欄位屬性,這可能導致跨網站指令碼弱點 (XSS)。請注意,掃描器程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新至 Drupal 10.4.5 或最新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 114678
類型: remote
已發布: 2025/3/24
已更新: 2025/3/24
掃描範本: api, basic, full, pci, scan
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Medium
基本分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2025-31675
CVSS v3
風險因素: Medium
基本分數: 5.4
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
CVSS 評分資料來源: CVE-2025-31675
CVSS v4
風險因素: Medium
Base Score: 5.3
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
CVSS 評分資料來源: CVE-2025-31675
弱點資訊
CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*
可輕鬆利用: No known exploits are available
弱點發布日期: 2025/3/18
參考資訊
CVE: CVE-2025-31675
CWE: 79
OWASP: 2010-A2, 2013-A3, 2013-A9, 2017-A7, 2017-A9, 2021-A3, 2021-A6
WASC: Cross-Site Scripting
CAPEC: 209, 588, 591, 592, 63, 85
DISA STIG: APSC-DV-002490, APSC-DV-002630
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-14.2.1, 4.0.2-5.3.3