CVE-2026-22194GestSup是一套IT服务管理(ITSM)系统,用于管理工单、资产和用户。该系统存在跨站请求伪造(CSRF)漏洞,攻击者可以诱导已登录的管理员用户执行非预期的操作。漏洞影响GestSup 3.2.60及以下所有版本。由于应用程序未正确验证客户端请求的真实性,攻击者可以构造恶意请求,诱使管理员在不知情的情况下创建具有特权的新账户,从而获得系统的完全控制权。该漏洞的CVSS评分为8.8,属于高危漏洞,攻击复杂度低,无需特殊权限,但需要用户交互。攻击者可通过社会工程学手段,如钓鱼邮件或恶意链接,诱导管理员访问精心设计的页面,触发对管理接口的CSRF攻击。
该CSRF漏洞存在于GestSup的用户管理功能中,攻击者可利用此漏洞以管理员身份创建新账户。漏洞的根本原因是应用程序缺少CSRF令牌验证机制,无法确认请求是否来自合法的用户操作。攻击者构造一个包含创建账户参数的HTML表单或JavaScript代码,当管理员访问该页面时,浏览器会自动携带有效的会话cookie向目标服务器发送请求。GestSup的管理接口位于/admin/user/add或类似路径,攻击者可指定新账户的角色为管理员,从而获得系统特权。攻击流程包括:1)攻击者准备恶意HTML页面,包含针对GestSup管理接口的POST请求;2)请求参数包含新账户的用户名、密码和角色信息;3)诱导已登录的管理员访问该页面;4)浏览器自动发送携带有效session的请求;5)服务器执行创建账户操作,返回成功响应。防御措施包括:在所有状态修改操作中实现CSRF令牌验证,检查Referer和Origin头部,启用SameSite Cookie属性。