CVE-2016-20054Nodcms内容管理系统存在跨站请求伪造(CSRF)漏洞。由于关键管理接口缺乏有效的令牌验证机制,攻击者可诱导已登录的管理员访问恶意页面。利用该漏洞,攻击者能够伪造请求向`admin/user_manipulate`和`admin/settings/generall`端点发送数据,从而在未经授权的情况下创建新用户或修改系统设置。
该漏洞的核心原理在于Nodcms未能对敏感操作实施有效的跨站请求伪造防护。具体而言,系统在处理`admin/user_manipulate`(用户管理)和`admin/settings/generall`(通用设置)等接口时,未验证请求头中的Referer来源,也未要求提交唯一的CSRF令牌。攻击者利用这一缺陷,可构造包含恶意HTML表单的网页,表单action属性指向上述受影响接口,并预设了攻击载荷(如新建管理员账号的参数)。当管理员在保持登录状态下访问该网页时,浏览器会自动附带有效的Session Cookie发送请求。服务器端接收请求后,因无法区分请求来源的真伪,将其视为合法操作并执行,导致攻击者成功劫持管理员权限,篡改系统配置或提升权限。