CVE-2026-41663Admidio是一款开源的用户管理解决方案。在5.0.9版本之前,其偏好设置模块中的数据库备份、测试邮件发送及htaccess生成等关键管理操作存在安全缺陷。这些操作通过GET请求执行,且未进行CSRF令牌验证。由于Cookie的SameSite属性设置为Lax,导致Cookie会随顶级GET导航传输,攻击者可诱导已认证的管理员访问恶意页面,从而在管理员不知情的情况下触发上述敏感操作。该漏洞在5.0.9版本中已得到修复。
该漏洞源于Admidio在处理敏感管理操作时缺乏有效的跨站请求伪造(CSRF)防护机制。具体而言,偏好设置模块中的数据库备份、测试邮件和htaccess生成功能仅通过GET请求触发,且未校验CSRF Token。在现代Web安全机制中,虽然SameSite=Lax属性可以防止大多数跨站POST请求携带Cookie,但它允许在用户发起的顶级导航(如点击链接)中携带Cookie。攻击者利用这一特性,构造恶意链接或包含隐藏iframe的页面,诱导已登录的管理员访问。当管理员触发请求时,浏览器会自动携带认证Cookie,导致服务器执行攻击者预设的管理操作,如下载备份数据或发送测试邮件,进而造成信息泄露或服务干扰。