CVE-2026-3526Drupal的File Access Fix模块存在不正确的授权漏洞,允许未经授权的强制浏览。该漏洞影响了1.2.0之前的版本,由于缺乏有效的访问控制验证,远程攻击者无需用户交互即可绕过安全限制。攻击者可利用此缺陷直接访问本应受保护的私有文件或敏感资源,导致信息泄露。鉴于该模块已被标记为弃用,建议用户尽快升级至安全版本或移除该模块,以防范潜在的数据窃取风险。
CVE-2026-3526漏洞源于Drupal File Access Fix模块在处理文件请求时的授权逻辑错误。尽管该模块旨在修复文件访问控制问题,但在特定版本中,其对文件路径的访问检查机制存在缺陷。根据CVSS 3.1评分向量(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N),该漏洞属于网络攻击向量,攻击复杂度低,且无需任何权限或用户交互。具体技术原理是:当攻击者向服务器发送针对私有文件的HTTP请求时,由于模块未能正确调用或执行Drupal核心的权限验证钩子,导致服务器错误地将请求视为合法。这使得攻击者能够实施“强制浏览”攻击,通过直接枚举或猜测文件路径(如`/private/`目录下的文件),获取系统内部的敏感数据。虽然该漏洞不影响系统的完整性和可用性,但直接破坏了数据的机密性,属于典型的访问控制失效类漏洞。