CVE-2025-70811phpBB 3.3.15版本存在跨站请求伪造(CSRF)漏洞。该漏洞源于管理控制面板(ACP)中的图标管理功能缺乏足够的CSRF防护机制。攻击者可以通过诱导拥有管理员权限的用户访问特制的恶意链接,利用该受害者的会话权限在后台执行未授权的操作。利用此漏洞,攻击者最终可以在服务器上执行任意代码,从而完全控制受影响的系统。该漏洞的CVSS评分为4.3,属于中危级别,需要管理员及时关注并修复。
该漏洞的技术原理在于phpBB 3.3.15管理后台的“图标管理”模块未对关键状态修改请求进行有效的CSRF令牌验证。在攻击场景中,攻击者首先构造一个包含恶意HTML表单的页面,该表单被配置为自动向目标phpBB后台的图标管理接口发送POST请求。当已登录的管理员浏览此页面时,浏览器会自动附带其有效的管理员Session Cookie发起请求。由于服务器端未严格校验请求来源的合法性或缺少Token验证,导致攻击者能够成功劫持管理员会话。通过利用图标管理功能提供的上传或配置接口,攻击者可以上传包含恶意代码的伪装图片文件,或修改路径配置指向服务器上的恶意脚本,从而在服务器端实现任意代码执行。此过程需要网络访问且依赖于诱导用户交互,但利用成功后危害较大。