CVE-2025-12761 CVSS 3.5 低危

CVE-2025-12761: Drupal Simple multi step form跨站脚本漏洞

披露日期: 2025-11-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12761

漏洞类型

跨站脚本(XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Drupal Simple multi step form

漏洞概述

这是Drupal Simple multi step form插件中的一个存储型跨站脚本(XSS)漏洞。漏洞源于该模块在处理用户输入时未能正确对特殊字符进行HTML转义，导致攻击者可以在表单字段中注入恶意JavaScript代码。当其他用户查看包含恶意代码的页面时，这些脚本将在其浏览器中执行，可能导致会话劫持、敏感信息窃取或对网站进行进一步攻击。该漏洞需要攻击者具有较高的权限（PR:H）才能实施，并且需要用户交互（UI:R）才能触发。

技术细节

漏洞存在于Simple multi step form模块的输入验证环节。攻击者可以利用表单提交功能，在各个步骤的输入字段中嵌入<script>标签或其他HTML/JS事件处理器。当管理员或其他用户查看表单数据或相关页面时，恶意代码会被浏览器解析执行。由于该漏洞属于存储型XSS，恶意脚本会永久保存在服务器端，所有访问相关内容的用户都会受到影响。攻击向量为网络级别，机密性和完整性影响均为低。

攻击链分析

STEP 1

攻击者以高权限用户身份登录 Drupal 网站

STEP 2

访问 Simple multi step form 管理界面

STEP 3

在表单字段中注入恶意 XSS payload

STEP 4

提交表单，恶意代码被存储在数据库中

STEP 5

其他用户访问相关页面时，恶意脚本在其浏览器中执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

影响范围

Drupal Simple multi step form < 2.0.0

防御指南

临时缓解措施

立即升级 Simple multi step form 模块至 2.0.0 版本；若暂时无法升级，可临时禁用该模块；同时在 Web 应用层实施严格的输入验证和输出编码机制。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12761
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12761
3 Details https://www.cvedetails.com/cve/CVE-2025-12761/
4 VulDB https://vuldb.com/cve/CVE-2025-12761
5 Link https://www.drupal.org/sa-contrib-2025-116

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表