关键漏洞信息 项目: COOKiES Consent Management 日期: 2025-05-28 安全风险: 中等严重 (13/25) 访问控制: 基本/A:用户/CI:某些/II:某些/E:理论/TD:默认 漏洞类型: 跨站脚本 (Cross Site Scripting) 受影响版本: <1.2.15 CVE ID: CVE-2025-48915 描述: - COOKIES模块通过控制JavaScript代码的执行来保护用户免受第三方提供的JavaScript代码的影响,例如显示广告或在未经同意的情况下跟踪用户数据。 - 每个子模块允许在同意管理中包含特定的第三方服务,但不能充分检查提供的JavaScript代码是否来自授权用户。 - 攻击者至少需要创建和发布HTML内容(如内容或评论)的权限。 解决方案: - 安装最新版本: - 如果使用Drupal 9或更高版本的COOKIES Consent Management模块,请升级到COOKIES Consent Management 1.2.15 报告人: - Pierre Rudloff (prudloff) - Drupal Security Team临时成员 修复者: - Joachim Feltkamp (jfeltkamp) 协调者: - Greg Knaddison (greggles) - Drupal Security Team - Juraj Nemec (poker10) - Drupal Security Team - Cathy Theys (ysect) - Drupal Security Team