CVE-2025-63711CVE-2025-63711是SourceCodester Client Database Management System 1.0中的一个高危跨站请求伪造(CSRF)漏洞。该漏洞存在于系统的用户管理功能中,特别是superadmin_user_delete.php端点。攻击者可以利用此漏洞构造恶意网页,当已认证的管理员用户访问该页面时,会在不知情的情况下执行用户删除操作,导致任意用户账户被恶意移除。由于漏洞利用难度低且攻击隐蔽性强,对系统的完整性和可用性造成严重威胁。建议受影响的用户尽快采取防御措施或升级到修复版本。
该CSRF漏洞的根本原因在于应用缺少关键的安全防护机制。首先,superadmin_user_delete.php端点仅依赖会话认证,但未实现请求来源验证(如Origin或Referer头检查),导致攻击者可以伪造来自任意域名的请求。其次,删除用户的POST请求未包含反CSRF令牌(CSRF Token),使得攻击者能够构造恶意表单并诱导已登录管理员自动提交。攻击者通常会创建一个包含隐藏表单的HTML页面,通过JavaScript的自动提交功能,在管理员不知情的情况下发送包含目标user_id的POST请求到删除端点。由于浏览器会自动携带目标网站的Cookie,服务器会误认为是合法的管理员操作,从而执行用户删除逻辑。