一、漏洞类型
反序列化利用组件链(Gadget chain)
二、受影响版本
版本小于 10.5.12;10.6.0 至 10.6.11(不含 10.6.11);11.2.0 至 11.2.14(不含 11.2.14);11.3.0 至 11.3.12(不含 11.3.12);全部 11.0.x、11.1.x 系列版本
三、CVE 编号
CVE-2026-55804
四、漏洞说明
Drupal 内核内置一组可串联调用的方法。若站点同时存在不安全反序列化漏洞,攻击者可利用该方法链发起攻击。
该 “组件利用链” 本身无法独立造成安全威胁;但如果站点因其他漏洞,对不可信外部数据执行反序列化操作,攻击者就能借助此组件链实现远程代码执行或 SQL 注入攻击。
本漏洞无法单独利用。
该漏洞触发存在前置限制:攻击者必须借助另一处独立漏洞,才能向unserialize()函数传入恶意数据,进而完成利用。
五、修复方案
升级至对应最新安全版本:
Drupal 11 系列
Drupal 10 系列
Drupal 11.1.x、11.0.x、10.4.x 及更早版本已终止官方生命周期,不再提供安全维护支持。(Drupal 8、Drupal 9 均已停止维护。)
