支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2019-11374 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
74CMS v5.0.1 存在一个 CSRF 漏洞,攻击者可以利用该漏洞通过特定的 URI 添加一个新的管理员用户。

## 影响版本
- 74CMS v5.0.1

## 漏洞细节
攻击者可以通过以下 URI 执行 CSRF 攻击来添加一个新的管理员用户:
```
index.php?m=Admin&c=admin&a=add
```

## 漏洞影响
攻击者可以利用此漏洞在未授权的情况下添加新的管理员用户,从而获取系统的管理权限。这将导致系统被未经授权的用户控制。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞是74CMS v5.0.1中的一个CSRF(跨站请求伪造)漏洞,攻击者可以通过特定的URI(index.php?m=Admin&c=admin&a=add)利用此漏洞来未经合法用户的同意添加新的管理员用户。这种类型的漏洞通常存在于Web服务的服务器端,因为它涉及到对服务器端资源(如用户管理)的非授权操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
74CMS v5.0.1 has a CSRF vulnerability to add a new admin user via the index.php?m=Admin&c=admin&a=add URI.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
迅易科技 74cms 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
迅易科技 74cms是中国迅易科技公司的一套基于PHP和MySQL的在线招聘系统。 迅易科技 74cms 5.0.1版本中存在跨站请求伪造漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-11374 的公开POC
#POC 描述源链接神龙链接
1Nonehttps://github.com/Threekiii/Awesome-POC/blob/master/CMS%E6%BC%8F%E6%B4%9E/74cms%20v5.0.1%20%E5%90%8E%E5%8F%B0%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E%20CVE-2019-11374.mdPOC详情
2Nonehttps://github.com/Threekiii/Awesome-POC/blob/master/SUMMARY.mdPOC详情
三、漏洞 CVE-2019-11374 的情报信息
  • http://www.iwantacve.cn/index.php/archives/203/x_refsource_MISC

  • 标题: Packet Storm -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ```md
### 关键信息
- **服务条款更新时间**:2025年9月12日
- **用户年龄限制**:用户须年满18岁
- **用户责任**:用户需确保注册信息真实、准确、最新、完整
- **禁止活动**:禁止恶意行为、将网站用于非法或未经授权的目的
- **用户生成内容**:用户提交的内容将被视为非机密和非专有,公司有权使用、复制、分发等
- **有限责任**:公司对任何直接、间接、结果性、偶然、特殊或惩罚性损害概不负责
- **责任赔偿**:用户需为因使用网站或违反条款引起的第三方索赔进行赔偿

### 其他信息
- **网站所有权**:网站及其内容受知识产权保护
- **用户账号**:保持密码保密并对其使用负责
- **广告商**:需对广告内容负责,并遵守所有适用法律
- **API访问**:API访问受限于特定的使用条件,公司保留随时撤销访问权的权利
- **隐私政策**:用户同意受隐私政策约束
- **服务中止与修改**:公司有权随时终止或修改网站服务,不承担任何责任
- **免责条款**:用户需自行承担使用网站的风险,公司不对其服务提供任何明示或暗示的担保

```
    Packet Storm

  • 标题: 74CMS 5.0.1 - Cross-Site Request Forgery (Add New Admin User) - PHP webapps Exploit -- 🔗来源链接

    标签:exploitx_refsource_EXPLOIT-DB

    神龙速读:
                                            - ### 漏洞信息
    - **EDB-ID**: 46738
    - **CVE**: 2019-11374
    - **Author**: AX8
    - **Type**: WEBAPPS
    - **Platform**: PHP
    - **Date**: 2019-04-22
    - **Vulnerable App**: 74CMS 5.0.1
    - **Tags**: Cross-Site Request Forgery (CSRF)

- ### 漏洞描述
    - 74CMS v5.0.1存在一个CSRF漏洞,允许攻击者通过`index.php?m=Admin&c=admin&a=add` URI添加新的管理员用户。

- ### Exploit Code
    - 提供了HTML代码,用于自动提交一个包含恶意管理员用户数据的表单,用于创建一个新的管理员账户。

- ### 其他信息
    - **Vendor Homepage**: https://github.com/Li-Siyuan
    - **Software Link**: http://www.74cms.com/download/index.html
    - **Version**: v5.0.1
    - **Advisory/Source**: [Link](#)
    74CMS 5.0.1 - Cross-Site Request Forgery (Add New Admin User) - PHP webapps Exploit
  • https://nvd.nist.gov/vuln/detail/CVE-2019-11374
四、漏洞 CVE-2019-11374 的评论

暂无评论

发表评论