Drupal 11.4.x < 11.4.4 多個弱點

high Web App Scanning Plugin ID 115306

概要

Drupal 11.4.x < 11.4.4 多個弱點

說明

根據其自我報告的版本號,偵測到的 Drupal 應用程式受到多個漏洞的影響:

- 透過非私有檔案串流提供時,影像模組無法充分驗證影像樣式衍生項目的存取權限,當 Drupal 設定為使用貢獻的非核心檔案配置時,可能會導致資訊洩露。(CVE-2026-15916)

- Drupal 核心中的 XSS 篩選器無法充分清理某些 HTMX 屬性,允許能夠插入 HTML 的攻擊者觸發跨網站指令碼 (XSS) 攻擊。(CVE-2026-15917)

- 在攻擊者和目標都有權存取版面配置產生器編輯的某些情況下,版面配置產生器模組無法充分清理區塊標籤,這可能導致跨網站指令碼 (XSS) 弱點。(CVE-2026-55805)

請注意,掃描器程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新至 Drupal 11.4.4 或最新版本。

另請參閱

https://www.drupal.org/project/drupal/releases/11.4.4

https://www.drupal.org/sa-core-2026-010

https://www.drupal.org/sa-core-2026-011

https://www.drupal.org/sa-core-2026-012

Plugin 詳細資訊

嚴重性: High

ID: 115306

類型: Version Based

已發布: 2026/7/17

已更新: 2026/7/17

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 3

百分位: 23.77

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2026-15916

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 評分資料來源: CVE-2026-15916

弱點資訊

CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

可輕鬆利用: No known exploits are available

弱點發布日期: 2026/7/14

參考資訊

CVE: CVE-2026-15916, CVE-2026-15917, CVE-2026-55805