CVE-2026-5624ProjectSend r2002版本的upload.php文件存在跨站请求伪造(CSRF)漏洞。由于未对关键操作进行充分的请求验证,远程攻击者可诱导已登录用户访问恶意页面,从而在用户不知情的情况下执行非预期操作。该漏洞可能影响系统完整性,建议升级至r2029版本修复。
该漏洞源于ProjectSend r2002版本中upload.php文件的处理逻辑缺陷。CVSS向量显示无需认证(PR:N)且需要用户交互(UI:R)。攻击者利用此漏洞时,首先构建包含恶意HTML表单的网页,该表单指向目标系统的upload.php接口并设置特定的上传参数。当受害者访问此网页时,由于浏览器会自动携带本地存储的有效Session Cookie,服务器会误认为该请求是用户自愿发起的合法操作。由于缺乏CSRF Token等防护机制,攻击者能够以受害者身份上传文件或执行其他操作,导致数据完整性受损(I:L)。此漏洞允许远程发起攻击,且利用代码已公开,风险不容忽视。修复补丁已包含在r2029版本中。