CVE-2026-6367Drupal Core在Web页面生成过程中未能正确中和用户输入,导致存在跨站脚本(XSS)漏洞。该漏洞影响了从11.3.0开始至11.3.7之前的版本。攻击者可诱导受害者访问恶意链接,从而在受害者浏览器中执行恶意JavaScript代码。这可能导致Cookie窃取、会话劫持或恶意重定向。鉴于CVSS评分为6.1,属于中危风险,建议管理员尽快修复。
该漏洞的根本原因在于Drupal Core在处理特定HTTP请求参数时,缺乏对用户输入的严格过滤和转义机制。具体而言,应用程序在生成动态Web页面时,直接将未经验证的用户可控数据嵌入到HTML上下文中,导致浏览器将其解析为可执行的JavaScript代码而非文本。攻击者可以构造包含恶意Payload的特制URL,并利用社会工程学手段诱导受害者点击。根据CVSS向量(AV:N/AC:L/PR:N/UI:R/S:C),这是一个无需认证的反射型XSS漏洞。由于作用域为“已更改”,攻击者可能利用该漏洞绕过同源策略,访问同一浏览器上下文下的其他敏感数据。攻击链通常涉及发送钓鱼邮件、在论坛发布恶意链接等方式。一旦用户触发请求,恶意脚本即可窃取Session ID、执行未授权操作或重定向至钓鱼站点。