CVE-2026-29839DedeCMS v5.7.118 版本被发现存在跨站请求伪造(CSRF)漏洞。该漏洞位于系统的 /sys_task_add.php 文件中。由于缺乏有效的令牌验证机制,攻击者可以诱导已登录的管理员访问恶意构造的页面,从而在受害者不知情的情况下执行添加计划任务等操作。鉴于该漏洞无需认证即可触发攻击向量(尽管需要用户交互),且可能对系统的机密性、完整性和可用性造成严重影响,风险等级较高。
该漏洞的根源在于 DedeCMS 的 /sys_task_add.php 接口在处理添加计划任务的请求时,未对请求来源进行严格的身份验证。具体而言,服务器端没有验证请求中是否包含有效的 CSRF Token,也没有检查 HTTP Referer 头部是否合法。攻击者可以构建一个恶意的 HTML 页面,其中包含一个自动提交的表单,该表单的 action 指向目标系统的 /sys_task_add.php,并填入攻击者意图添加的恶意任务参数。当已登录的管理员访问该恶意页面时,浏览器会自动携带管理员的 Session Cookie 向服务器发送请求。由于服务器认为这是一个合法的管理员操作,便会执行添加任务的操作。这种攻击利用了用户对受信任网站的隐式信任,从而绕过了同源策略的限制,导致非预期的操作被执行。