关键漏洞信息 项目: Bookable Calendar 日期: 2025-05-28 安全风险: Less critical (9/25) - AC: Basic - A: User - CI: Some - II: None - E: Theoretical - TD: Uncommon 漏洞类型: Access bypass 受影响版本: <2.2.13 CVE ID: CVE-2025-48916 描述 该模块允许用户设置重复的日期规则,使用户可以“预订”不同的日期。由于权限命名不当,管理员可能将“view booking”和“view booking contact”权限配置给不应拥有它们的用户。 解决方案 安装最新版本: 如果使用Drupal 8.x的Bookable Calendar模块,请升级到Bookable Calendar 2.2.13。 手动修复步骤 通过更新视图配置来解决此问题。完整的视图配置可以在 中找到。如果没有自定义此视图,可以通过Config Sync UI或Drush重新导入视图配置。 报告者 Ludo Hartzeema (absoludo) 修复者 Ludo Hartzeema (absoludo) Josh Fabean (josh.fabea) 协调者 Bram Driesen (bramdriesen) Greg Knaddison (greggles) Juraj Nemec (poker10) Cathy Theys (yesct)