一、安全风险评级

高危 18/25

风险维度：无访问控制 / 攻击者需普通用户权限 / 可完整篡改数据 / 可完整泄露数据 / 利用场景理论可行 / 触发场景少见

二、漏洞类型

PHP 对象注入漏洞

三、受影响版本

低于 10.5.12；10.6.0 ≤ 版本 ＜ 10.6.11；11.2.0 ≤ 版本 ＜ 11.2.14；11.3.0 ≤ 版本 ＜ 11.3.12；全部 11.0.x、11.1.x 版本

四、CVE 漏洞编号

CVE-2026-55803

五、漏洞说明

安全公告 SA-CORE-2019-003 曾针对序列化存储字段增加防护机制，禁止通过 Web 服务直接写入数据。但该修复方案并未覆盖 JSON:API 全部潜在攻击路径。在极少数特定场景下，拥有 JSON:API 写入权限的攻击者可植入恶意载荷，触发 PHP 对象注入漏洞。

该漏洞存在多重前置限制，需同时满足以下条件才可被利用：

站点使用实体引用字段，且该字段采用序列化方式存储属性；

攻击者拥有通过 JSON:API 修改对应实体内容的权限。

Drupal 内核自带字段均不满足上述条件；第三方贡献模块或自定义开发的此类字段也十分罕见。本次版本更新统一对该类字段增加防护，现有第三方模块无需额外修改。

JSON:API 默认仅开放只读权限，站点仅在开启写入权限后才会受此漏洞影响（开启方式包括管理员后台手动配置、安装支持写入的第三方模块或自定义模块）。

Drupal Steward 临时防护说明

本漏洞已启用 Drupal Steward 防护机制。配套 WAF 规则可拦截大部分常见、易利用的攻击路径，但无法覆盖全部攻击场景，且并非所有主机服务商都支持该防护规则。

此外，今日发布的其余多条内核安全公告对应的漏洞均无法通过 Drupal Steward 缓解。因此官方仍强烈建议在本次版本发布后的 24 小时内完成 Drupal 程序正式升级。

六、修复方案

升级至对应安全版本：

Drupal 11 系列

• 使用 Drupal 11.3.x：升级至 Drupal 11.3.12
• 使用 Drupal 11.2.x：升级至 Drupal 11.2.14

Drupal 10 系列

• 使用 Drupal 10.6.x：升级至 Drupal 10.6.11
• 使用 Drupal 10.5.x：升级至 Drupal 10.5.12

Drupal 11.1.x、11.0.x、10.4.x 及更早版本已终止生命周期，不再提供安全维护。（Drupal 8、Drupal 9 均已停止官方维护。）