CVE-2026-4933Drupal的Unpublished Node Permissions模块存在严重的授权不正确漏洞,导致强制浏览安全风险。由于未对未发布节点的访问权限进行严格校验,攻击者无需认证即可直接访问本应受限的敏感内容。该漏洞影响了从0.0.0版本开始直至1.7.0之前的所有版本。由于其网络攻击向量且无需用户交互,攻击者可轻易利用此漏洞泄露未发布的信息,对系统机密性造成严重影响。
该漏洞的根源在于Drupal Unpublished Node Permissions模块在处理对未发布节点的访问请求时,未能正确实施权限检查机制。通常情况下,未发布的节点应仅对具有特定权限(如“查看任何未发布内容”)的管理员或编辑可见。然而,受影响的版本在逻辑判断上存在缺陷,可能直接绕过了标准的Drupal节点访问钩子或权限检查函数。攻击者利用此漏洞的方式相对简单,属于强制浏览。攻击者无需拥有系统账户,也无需诱导用户交互,只需构造特定的HTTP请求,直接访问节点的URL(如/node/ID)。由于后端未能正确验证当前会话是否有权查看该特定节点状态,服务器会返回完整的节点内容。这本质上是一种访问控制失效,导致了信息泄露。攻击者可利用此漏洞批量扫描站点ID,爬取未发布的草稿、敏感数据或内部信息。