发布日期：2025-11-25
更新日期：2025-12-26

受影响系统：

Drupal Drupal 7.x

描述：

---

CVE(CAN) ID: CVE-2025-12848

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。
Drupal 7.x 的Webform多文件上传模块在文件名渲染器中存在一个跨站脚本攻击漏洞，该漏洞源于第三方库，攻击者可利用该漏洞上传包含恶意代码的文件名到Webform节点，导致受害者浏览器上下文中的任意代码执行。

<*链接：https://www.drupal.org/node/3105204
*>

建议：

---

厂商补丁：

Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://new.drupal.org/home

浏览次数：331
严重程度：0（网友投票）