CVE-2026-38934diskoverdata diskover-community v2.3.5及之前版本被发现存在跨站请求伪造(CSRF)安全漏洞。该漏洞源于应用程序未能有效验证关键操作请求的来源,具体涉及`public/settings_process.php`接口。远程攻击者可利用此漏洞,诱导已登录的管理员用户访问恶意构造的网页。一旦成功,攻击者即可在受害者不知情的情况下执行未授权操作,导致系统权限被非法提升,并获取系统内部的敏感信息,严重威胁业务安全。
CVE-2026-38934漏洞的根源在于diskover-community应用在处理设置更改请求时,缺乏对跨站请求伪造的有效防御机制。攻击者无需获取用户的账号密码,仅需利用受害者的浏览器身份认证状态。通过分析受影响的`public/settings_process.php`端点,发现其接受GET或POST请求来修改系统关键配置,且未校验CSRF Token或自定义头部。攻击者可以构建包含恶意HTML表单的页面,诱导管理员点击。由于浏览器会自动附带目标域名的Cookie,服务器将该请求视为合法的管理员操作。利用此漏洞,攻击者可篡改管理员账户、提升普通用户权限,进而控制整个文件索引系统并窃取敏感数据。