CVE-2025-11570：drupal-pattern-lab/unified-twig-extensions XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11570

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

drupal-pattern-lab/unified-twig-extensions

漏洞概述

CVE-2025-11570是drupal-pattern-lab/unified-twig-extensions包中的一个跨站脚本（XSS）漏洞。该漏洞源于代码对用户输入数据的过滤不充分，允许攻击者注入恶意脚本代码。受影响的包版本从0.0.0开始均存在此漏洞。值得注意的是，该漏洞仅在代码在Drupal环境之外执行时才可被利用，因为相关函数设计初衷是在Drupal和Pattern Lab之间共享使用。该包的维护状态为已停止维护（unmaintained），官方已在drupal/unified_twig_ext的1.1.1版本中提供了修复方案。该漏洞由Snyk安全团队（[email protected]）发现并报告，CVSS 3.1评分为4.6分，属于中危级别。攻击者需要具有低权限认证并需要用户交互才能成功利用此漏洞。漏洞的成功利用可能导致机密性和完整性数据受到影响，但不会对系统可用性造成影响。由于该包已被弃用，建议用户迁移到维护中的替代包drupal/unified_twig_ext，并升级到包含修复的1.1.1或更高版本。

技术细节

该XSS漏洞存在于drupal-pattern-lab/unified-twig-extensions包的link.function.php文件中，具体位于第9行附近的代码逻辑。漏洞的根本原因是函数在处理用户可控数据时缺乏充分的过滤和转义机制，导致恶意HTML/JavaScript代码能够通过输入参数注入到输出页面中。由于该函数被设计为在Drupal和Pattern Lab之间共享，在Pattern Lab环境中执行时，Drupal自身的安全过滤机制不会被应用，从而放大了XSS风险。攻击者可以通过精心构造的输入数据（如包含<script>标签或事件处理器的字符串）触发漏洞。当受害者浏览包含恶意数据的页面时，嵌入的脚本将在受害者的浏览器上下文中执行，可能窃取会话cookie、劫持用户会话或执行其他恶意操作。CVSS向量显示该漏洞通过网络传播（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），需要用户交互（UI:R），对机密性和完整性影响为低（C:L/I:L），对可用性无影响（A:N）。

攻击链分析

STEP 1

步骤1：环境准备

攻击者识别目标系统正在使用drupal-pattern-lab/unified-twig-extensions包，且代码在Drupal环境之外（如Pattern Lab环境）执行。

STEP 2

步骤2：注入恶意载荷

攻击者通过低权限账户向link.function.php函数的输入参数（如URL或title）中注入包含恶意JavaScript代码的XSS载荷。

STEP 3

步骤3：触发渲染

当受害用户访问包含恶意数据的页面时，未经过滤的用户输入被直接渲染到HTML输出中。

STEP 4

步骤4：脚本执行

嵌入的恶意脚本在受害者浏览器上下文中执行，可窃取会话cookie、劫持会话或进行其他恶意操作。

STEP 5

步骤5：数据泄露

攻击者通过执行恶意脚本获取用户的敏感信息（如会话令牌），导致机密性和完整性数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2025-11570 - XSS in drupal-pattern-lab/unified-twig-extensions -->
<!-- The vulnerability exists in link.function.php where user input is not properly sanitized -->
<!-- When the function is called outside of Drupal context (e.g., in Pattern Lab), -->
<!-- the input is rendered without proper HTML escaping -->

<?php
// Example of vulnerable code in link.function.php
function link($url, $title) {
    // Vulnerable: $title is not escaped before being rendered
    return '<a href="' . $url . '">' . $title . '</a>';
}

// Malicious payload that exploits the XSS vulnerability
$malicious_url = 'javascript:alert("XSS-CVE-2025-11570")';
$malicious_title = '"><img src=x onerror=alert(document.cookie)>';

// Trigger the vulnerability by calling the function with malicious input
echo link($malicious_url, $malicious_title);
?>

<!-- In a Twig template context, the exploit would look like: -->
<!-- {{ link(user_input_url, user_input_title) }} -->
<!-- Where user_input_title contains: -->
<!-- "><script>alert('XSS')</script> -->

影响范围

drupal-pattern-lab/unified-twig-extensions 所有版本（从0.0.0起）

防御指南

临时缓解措施

由于drupal-pattern-lab/unified-twig-extensions包已停止维护，建议立即迁移到其替代包drupal/unified_twig_ext并升级到1.1.1或更高版本。在迁移之前，可以通过在输出前对用户输入进行HTML实体编码、使用内容安全策略（CSP）头部限制内联脚本执行、以及在Drupal环境中启用安全过滤模块来临时缓解此漏洞。