CVE-2025-70899CVE-2025-70899是PHPgurukul在线课程注册系统v3.1中的一个中等严重性安全漏洞。该系统是一款基于PHP和MySQL开发的在线课程注册管理平台,广泛应用于教育机构进行课程管理和学员注册。漏洞根源在于系统所有管理后台表单缺少跨站请求伪造(CSRF)保护机制。攻击者可以利用此漏洞构造恶意网页,诱导已登录的管理员访问,从而在管理员不知情的情况下执行未授权操作。由于CSRF攻击利用的是Web应用程序对用户浏览器的信任,攻击者无需获取管理员凭证即可完成攻击。该漏洞的CVSS评分为6.5,属于中等严重级别。攻击复杂度低,无需特殊权限,但需要用户交互。攻击成功后可能对系统完整性造成严重影响,攻击者可修改课程信息、用户数据或系统配置,对教育机构的正常运营造成威胁。
跨站请求伪造(CSRF)是一种利用Web应用程序对已认证用户的信任进行攻击的方式。在PHPgurukul Online Course Registration v3.1中,所有管理后台表单均未实现CSRF令牌验证机制。正常情况下,Web应用应在表单中添加唯一的CSRF令牌,并在服务器端验证该令牌的合法性,以防止跨站请求伪造攻击。由于缺乏此保护,攻击者可以构造包含恶意请求的HTML页面或链接,当已登录的管理员访问这些内容时,浏览器会自动携带有效的会话Cookie向目标服务器发送请求。攻击者通常会诱骗管理员访问精心构造的恶意页面,页面中包含自动提交的表单或隐藏的请求资源。服务器无法区分这些请求是来自合法用户操作还是攻击者的恶意诱导,从而执行攻击者预设的操作。攻击者可利用此漏洞进行课程信息篡改、用户权限修改、数据删除等管理操作。