CVE-2026-8493Drupal Colorbox Inline模块存在一个跨站脚本(XSS)漏洞,该漏洞被归类为网页生成过程中输入中和不当。攻击者可利用此漏洞在受害者的浏览器中执行恶意JavaScript代码,从而窃取会话信息或进行恶意操作。此漏洞影响了从0.0.0版本开始到2.1.1版本之前的所有Colorbox Inline版本,对系统安全性构成中等风险,需及时修复。
该漏洞的核心机制在于Drupal的Colorbox Inline模块在渲染Web页面时,未对特定用户输入字段进行充分的上下文感知转义。攻击者只需具备低权限账户(PR:L),即可在模块支持的输入区域(如Colorbox标题或内容)注入恶意的HTML或JavaScript代码。当具有更高权限的用户或普通用户浏览包含该恶意内容的页面时,浏览器会解析并执行注入的脚本。由于该漏洞具有作用域影响(S:C),攻击者可以利用DOM操作绕过部分同源策略限制,进而窃取Cookie、Session令牌,或重定向用户至钓鱼网站。利用过程通常需要一定的用户交互(UI:R),如点击链接或查看特定弹窗内容。