支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-14556 基础信息
漏洞信息
                                        # Drupal 7 标志模块XSS漏洞

## 概述
Drupal Flag模块存在跨站脚本(XSS)漏洞,由于在网页生成过程中未正确中和用户输入,导致攻击者可注入恶意脚本。

## 影响版本
- Flag模块 7.X-3.0 至 7.X-3.9 版本

## 细节
该漏洞源于Flag模块在处理用户输入时未充分过滤或转义,使得恶意输入可在页面渲染时作为脚本执行,从而触发反射型或存储型XSS。

## 影响
攻击者可利用此漏洞在受影响站点的用户浏览器中执行任意脚本,可能导致会话劫持、用户重定向或敏感信息泄露。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
XSS in Drupal 7 Flag Module
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Drupal Flag allows Cross-Site Scripting (XSS).This issue affects Flag: from 7.X-3.0 through 7.X-3.9.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Drupal Flag 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Drupal Flag是Drupal社区的一个标记创建模块。 Drupal Flag 7.X-3.0版本至7.X-3.9版本存在安全漏洞,该漏洞源于网页生成期间输入中和不当,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-14556 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-14556 的情报信息

  • 标题: Vulnerability Directory | CVE-2025-14556 | Drupal 7 | HeroDevs -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ### 漏洞关键信息

#### 漏洞标识
- **CVE编号**: CVE-2025-14556

#### 影响范围
- **受影响的项目**: Flag (Drupal 7)
- **影响版本**: >=7.0.0 <=7.3.9

#### 漏洞概述
- **类型**: Cross-Site Scripting (XSS)
- **严重程度**: Medium

#### 漏洞详情
- **问题描述**: 
  - 该漏洞存在于Flag模块的所有版本(<= 7.3.9)中,涉及到JavaScript和PHP代码。
  - JavaScript代码未进行正确的验证,PHP代码未验证响应是否来自Flag模块本身。

#### 解决方案
- **修复版本**: Flag NES 7.3.10
- **解决方式**:
  - 将所有标志链接类型改为“普通链接”而非“JavaScript切换”。
  - 移除不受信用户的“完整HTML”格式访问。
  - 配置评论文本格式以删除所有HTML。

#### 致谢
- **发现者**: Yonatan Offek (poui), Tess Flynn (socketwrench)
    Vulnerability Directory | CVE-2025-14556 | Drupal 7 | HeroDevs

  • 标题: Flag - Moderately Critical - Cross Site Scripting - BACKDROP-SA-CONTRIB-2025-011 | Tag1 D7ES -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ## 关键信息摘要

### 漏洞详情
- **项目**: Flag
- **日期**: 2025年5月21日
- **严重性**: 中度关键
- **风险评分**: 14/25
- **CVSS向量**: AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:All
- **漏洞类型**: 跨站点脚本攻击(Cross Site Scripting)
- **受影响版本**: <7.x-3.10

### 描述
Flag模块存在一处未验证flag链接或响应的漏洞,可能导致跨站点脚本攻击。

### 报告人员
- Yonatan Offek
- Tess

### 修复人员
- Herb v/d Dool (模块维护者)
- Jen Lampton (Backdrop CMS安全团队)
- Nate Lampton (Backdrop CMS安全团队)
- David Snopek
- Neil Drumm (Drupal安全团队)
- Yonatan Offek
- Joachim Noreiko
- Ra Mänd (Drupal安全团队)

### 协调人员
- Jen Lampton (Backdrop CMS安全团队)
- Herb v/d Dool
- Tag1 D7ES
```

从截图中获取的关键信息已在上述Markdown中进行了精炼概括。
    Flag - Moderately Critical - Cross Site Scripting - BACKDROP-SA-CONTRIB-2025-011 | Tag1 D7ES
  • https://nvd.nist.gov/vuln/detail/CVE-2025-14556
四、漏洞 CVE-2025-14556 的评论
匿名用户
2026-01-15 06:08:07

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论