CVE-2025-13468 CVSS 5.4 中危

CVE-2025-13468 SourceCodester Alumni Management System 1.0 缺少授权漏洞

披露日期: 2025-11-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13468

漏洞类型

Missing Authorization

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Alumni Management System 1.0

漏洞概述

SourceCodester Alumni Management System 1.0版本中存在严重的授权缺陷。该系统在admin/admin_class.php文件的删除处理功能中未能正确验证用户权限，攻击者可通过操纵ID参数直接调用delete_forum、delete_career、delete_comment、delete_gallery和delete_event等敏感操作。

技术细节

漏洞源于Delete Handler组件缺少权限验证机制。系统未检查用户是否具有执行删除操作的授权，攻击者只需提供有效的资源ID即可绕过访问控制。攻击可远程执行，无需特殊权限或用户交互。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统中未授权的删除端点

STEP 2

步骤2

通过操纵ID参数发送恶意请求

STEP 3

步骤3

系统执行删除操作而无需验证权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

curl -X POST http://target.com/admin/admin_class.php -d 'action=delete_forum&id=123'

影响范围

SourceCodester Alumni Management System 1.0

防御指南

临时缓解措施

暂时禁用受影响系统中的删除功能，或实施网络层访问控制

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13468
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13468
3 Details https://www.cvedetails.com/cve/CVE-2025-13468/
4 VulDB https://vuldb.com/cve/CVE-2025-13468
5 Link https://hackmd.io/@mlgzackfly/SourceCodester
6 Link https://vuldb.com/?ctiid.333041
7 Link https://vuldb.com/?id.333041
8 Link https://vuldb.com/?submit.694826
9 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表