支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-14557 基础信息
漏洞信息
                                        # Drupal 7 面包圈像素模块XSS漏洞

## 概述
Drupal Facebook Pixel 模块存在跨站脚本(XSS)漏洞,属于存储型 XSS,源于网页生成过程中未正确中和用户输入。

## 影响版本
Facebook Pixel 模块版本从 7.X-1.0 至 7.X-1.1。

## 细节
该模块在处理用户输入时未进行充分的输入过滤与输出编码,导致恶意脚本可被存储并在后续页面访问时执行。

## 影响
攻击者可利用该漏洞在受影响网站的用户浏览器中执行任意脚本,可能导致会话劫持、用户数据窃取或页面内容篡改。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
XSS in Drupal 7 Facebook Pixel Module
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Drupal Facebook Pixel facebook_pixel allows Stored XSS.This issue affects Facebook Pixel: from 7.X-1.0 through 7.X-1.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Drupal Facebook Pixel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Drupal Facebook Pixel是Drupal社区的一个广告投放模块。 Drupal Facebook Pixel 7.X-1.0版本至7.X-1.1版本存在安全漏洞,该漏洞源于网页生成期间输入中和不当,可能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-14557 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-14557 的情报信息

  • 标题: Facebook Pixel - Less critical - Cross Site Scripting | Tag1 D7ES -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 漏洞关键信息

* **Project:** Facebook Pixel
* **Date:** June 04, 2025
* **Severity:** Less Critical
* **Risk Score:** 9/25 AC:None/A:Admin/CI:None/II:None/E:Theoretical/TD:All
* **Vulnerability:** Cross Site Scripting
* **Affected versions:** <7.x-1.2

#### Description
The Facebook Pixel module integrates with Facebook analytics. The module doesn't sufficiently protect its configuration against cross-site scripting (XSS) attacks. This vulnerability is mitigated in that a user must have the "Administer Facebook pixel" permission in order to manage the configuration.

#### Reported by
* Ivo Van Geetruiyen (mr.baileys) of the Drupal Security Team

#### Fixed by
* Ivo Van Geetruiyen (mr.baileys)
* Joshua Sedler (grevil)

#### Coordinated by
* Damien McKenna (damienmckenna) of the Drupal Security Team
* Tag1 D7ES
    Facebook Pixel - Less critical - Cross Site Scripting | Tag1 D7ES

  • 标题: Vulnerability Directory | CVE-2025-14557 | Drupal 7 | HeroDevs -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键信息摘要

- **漏洞ID**: CVE-2025-14557
- **类型**: Cross-Site Scripting (XSS)
- **受影响模块**: Facebook Pixel
- **受影响产品及版本**: Drupal 7, Facebook Pixel 7.0.0 到 7.1.1
- **修复版本**: Facebook Pixel NES 7.1.2
- **问题概述**: Facebook Pixel模块自动在每个网页上放置代码,导致XSS漏洞,允许攻击者注入恶意脚本。
- **如何复现**: 在配置表单中输入恶意字符串,例如`');\"></script><script>alert('xss');</script>`
- **解决办法**:
  - 禁用Facebook Pixel模块
  - 限制输入为仅数字
  - 提交表单时对输入进行清理
  - 使用NES支持获取修正版本
- **发现者**: Ivo Van Geertruyen (mr.baileys)
    Vulnerability Directory | CVE-2025-14557 | Drupal 7 | HeroDevs
  • https://nvd.nist.gov/vuln/detail/CVE-2025-14557
四、漏洞 CVE-2025-14557 的评论
匿名用户
2026-01-15 06:08:07

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论