CVE-2025-63717CVE-2025-63717是SourceCodester Pet Grooming Management Software 1.0中发现的一个中危安全漏洞,存在于管理后台的密码修改功能中。该漏洞允许未经身份验证的攻击者通过社会工程学手段,诱骗已登录的管理员用户在不知情的情况下将密码修改为攻击者指定的值。由于该应用在密码修改端点(/pet_grooming/admin/change_pass.php)缺乏有效的CSRF防护机制,攻击者可以构造恶意页面,利用受害者的有效会话执行非授权操作。成功利用此漏洞可能导致管理员账户被完全接管,进而获得对整个宠物美容管理系统的完全控制权,访问、篡改或删除所有业务数据和客户信息。此漏洞的CVSS评分为6.5,属于中等严重程度,主要因为其攻击复杂度低且不需要用户交互即可实施。
该CSRF漏洞位于SourceCodester Pet Grooming Management Software 1.0的密码修改功能模块。具体来说,/pet_grooming/admin/change_pass.php端点在处理密码修改请求时存在以下安全问题:1) 缺少anti-CSRF token验证:应用未实现CSRF令牌机制来验证请求的合法性;2) 未启用SameSite Cookie属性:会话Cookie未设置为SameSite=Strict或SameSite=Lax,导致Cookie可在跨站请求中被发送;3) 缺乏请求来源验证:服务器端未验证HTTP请求的Referer或Origin头部。攻击者可以构造一个包含自动提交表单的HTML页面,当管理员访问该页面时,浏览器会自动向目标网站的密码修改端点发送POST请求,携带管理员的有效会话Cookie。由于浏览器会自动附带同源Cookie,服务器会认为这是合法的管理员操作,从而执行密码修改。攻击者通常将新密码设置为攻击者已知值,以便后续登录控制账户。