支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2021-47800 基础信息
漏洞信息
                                        # b2evolution 7.2.2 CSRF漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
b2evolution 7.2.2 - 'edit account details' Cross-Site Request Forgery (CSRF)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
b2evolution 7.2.2 contains a cross-site request forgery vulnerability that allows attackers to modify admin account details without authentication. Attackers can craft a malicious HTML form to submit unauthorized changes to user profiles by tricking victims into loading a specially crafted webpage.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47800 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2021-47800 的情报信息

  • 标题: b2evolution 7.2.2 - 'edit account details' Cross-Site Request Forgery (CSRF) - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

### 关键信息

- **漏洞详情:**
    - **EID:** 50081
    - **CVE:** N/A
    - **类别:** WebApps
    - **平台:** PHP
    - **发布日期:** 2021-07-02
    - **验证:** EDB 验证未通过
    - **相关的漏洞:** 没有提及具体的

- **漏洞影响:** 
    - **漏洞影响:** 允许攻击者修改管理员账户的详情,属于Cross-Site Request Forgery(CSRF)类型。
    - **示例代码:** 提供了利用测试(Proof of Concept, PoC)的HTML代码,其中构造了模拟用户编辑账户详情的恶意POST请求,攻击者可借此操纵用户信息。

- **受影响软件:**
    - **版本:** b2evolution 7.2.2,是一个允许用户创建和管理博客或内容管理系统的平台。
    - **测试环境:** 漏洞在Kali Linux环境下进行了测试验证。
    - **软件来源:** b2evolution通过其官方网站提供下载。

- **相关攻击原理:** 漏洞的核心在于网站未充分验证请求来源,使得攻击者可以通过构造特定的请求,篡改合法用户的操作,如在此案例中修改用户的账号详情,从而获取控制权或敏感信息。

- **解决与利用:** 本截图未提供具体的缓解措施,但实践中可通过在代码中部署反向 CSRF Token、检验请求来源等方式解决此类安全风险。

以上是从截图中获取的简洁关键信息总结。
    b2evolution 7.2.2 - 'edit account details' Cross-Site Request Forgery (CSRF) - PHP webapps Exploit

  • 标题: b2evolution CMS Downloads -- 🔗来源链接

    标签:product

    神龙速读:
                                            - **关键信息**:
  - **最新稳定版**: 7.2.5-stable 于 2022 年 8 月 6 日发布,修正了安全问题,建议所有用户使用。
  - **其他稳定版**: 
    - 7.2.3-stable 发布于 2021 年 3 月 1 日,建议所有用户使用。
    - 7.2.2-stable 发布于 2020 年 10 月 6 日,建议所有用户使用。
  - **测试版**: 
    - 7.2.1-beta 和 7.2.0-beta 分别发布于 2020 年 8 月和 2020 年 7 月,已确认在多个生产环境中运行稳定。
  - **历史稳定版与要求变更**:
    - 对于7.1.x系列稳定版和测试版(7.1.7-stable、7.1.6-stable、7.1.5-stable、7.1.4-stable、7.1.3-beta),最低要求已更新为PHP 5.6+ / 7.0+和MySQL 5.5.3+。这可能意味着存在与早期版本兼容性问题的漏洞,需确保环境满足最新要求。
  
以上信息提示用户应评估系统或服务器的版本以确保与最低要求兼容,防止潜在的安全漏洞。
    b2evolution CMS Downloads

  • 标题: b2evolution blog/social CMS - A complete engine for your website! -- 🔗来源链接

    标签:product

    神龙速读:
                                            ### 关键信息

- ** المشكلة الرئيسية**:
  - b2evolution.net 网站将在不久后变为只读模式,无法进行新的内容发布或更新。

- ** 安全性**:
  - 由于网站将变为只读状态,可能存在未解决的安全漏洞,特别是与更新和维护相关的问题。

- ** 更新和维护**:
  - 从 2022 年版开始,b2evolution CMS 不再积极开发,仅修复在 7.2.x 稳定分支上发现的安全问题。

- ** 社区支持和资源**:
  - 社区在线支持将通过论坛提供,文档和指南仍在网站上可用。
  - 一些资源和附加组件如下载、皮肤和语言包仍在可获取状态。

### 补充信息

该页面是一个CMS平台的公告,告知用户平台即将发生的重大变化,包括支持的终止和只读模式的转换。这可能会对依赖该平台的用户造成影响,特别是那些需要定期发布和管理内容的用户。
    b2evolution blog/social CMS - A complete engine for your website!

  • 标题: GitHub - b2evolution/b2evolution: b2evolution CMS: Multiblog/CMS content publishing + forums + email marketing + social network + more... b2evolution includes everything you need to run and maintain a modern website. Optimized for low maintenance with easy upgrades and effective antispam. Full RWD & bootstrap support. -- 🔗来源链接

    标签:product

    神龙速读:
                                            基于提供的信息,以下是关于漏洞的关键信息摘要:

- **项目名称和版本:** b2evolution CMS, 版本 7.2.5-stable.
- **项目描述:** b2evolution 是一个包含多博客/内容管理系统、论坛、电子邮件营销和社交网络等功能的全面解决方案.
- **技术栈:** 项目主要使用 PHP (70.5%), JavaScript (25.3%) 和其他一些语言(CSS, Less, HTML, Pascal).
- **最近更新:** 最新版本发布于 "Sep 9, 2022", 项目最近的 commit 距今已有 4 年.
- **漏洞相关:** 目前没有直接提及具体的漏洞信息, 但考虑到项目的最后一次更新时间为四年前, 存在旧版本可能存在未修补的安全漏洞的风险. 通常需要查看 Issues, Security 标签或项目的 release notes 来寻找已知的漏洞和修复信息.
- **安全性和贡献:** 可以查看 Issues 和 Security 选项卡来了解最近是否有安全相关的讨论或报告. 贡献者数量为 23 人, 活跃的社区贡献可能有助于漏洞的及时发现和修复.
    GitHub - b2evolution/b2evolution: b2evolution CMS: Multiblog/CMS content publishing + forums + email marketing + social network + more... b2evolution includes everything you need to run and maintain a modern website. Optimized for low maintenance with easy upgrades and effective antispam. Full RWD & bootstrap support.

  • 标题: b2evolution 7.2.2 - 'edit account details' Cross-Site Request Forgery (CSRF) | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ## 关键信息总结

- **漏洞名称:** 'edit account details' Cross-Site Request Forgery (CSRF) in b2evolution 7.2.2
- **严重性:** Medium
- **日期:** January 15, 2026
- **受影响版本:** b2evolution 7.2.2
- **CVE ID:** CVE-2021-47800
- **CVE类型:** CWE-352 - Cross-Site Request Forgery (CSRF)
- **风险评估:** CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
- **相关链接:**
    - ExploitDB ID: 50081
    - 官方厂商主页
    - 软件下载页面
    - B2Evolution GitHub 仓库
- **发现者:** Alperen Ergel (@alpernae)
- **漏洞描述:**
    - b2evolution 7.2.2 存在跨站请求伪造漏洞,允许攻击者在未经身份验证的情况下修改管理员账户详细信息。攻击者可以创建一个恶意的HTML表单,通过诱骗受害者加载一个特制的网页,从而提交未经授权的用户资料更改。
    b2evolution 7.2.2 - 'edit account details' Cross-Site Request Forgery (CSRF) | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2021-47800
四、漏洞 CVE-2021-47800 的评论

暂无评论

发表评论