支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1141 基础信息
漏洞信息
                                        # PHPGurukul 新闻门户添加子管理员漏洞

## 概述
PHPGurukul 新闻门户 1.0 中存在一个漏洞,位于组件“添加子管理员页面”的 `/admin/add-subadmins.php` 文件中的未知函数。该漏洞导致权限控制不当,攻击者可利用其实现未授权操作。

## 影响版本
PHPGurukul News Portal 1.0

## 细节
漏洞存在于 `/admin/add-subadmins.php` 文件中,由于对功能访问缺乏适当的权限验证,未授权用户可直接访问或操作该页面功能,从而添加新的子管理员账号,获得管理权限。

## 影响
攻击者可远程利用该漏洞进行未授权操作,获取管理员权限,进而控制整个新闻门户系统。已有公开的利用代码,存在被实际攻击的风险。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PHPGurukul News Portal Add Sub-Admin add-subadmins.php improper authorization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was identified in PHPGurukul News Portal 1.0. The affected element is an unknown function of the file /admin/add-subadmins.php of the component Add Sub-Admin Page. Such manipulation leads to improper authorization. The attack can be launched remotely. The exploit is publicly available and might be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1141 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1141 的情报信息

  • 标题: GitHub - Asim-QAZi/BrokenAccessControl-News-Portal-Project-in-PHP-and-MySQL-in-PHPGurukul -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            以下是从网页截图中获取到的关于漏洞的关键信息的简洁Markdown格式化内容:

```markdown
## CVE-2026-1141

### 漏洞概述
- **应用**: News Portal Project in PHP and MySQL (PHPGurukul)
- **受影响端点**: `/news/admin/add-subadmins.php`
- **严重性**: 高
- **OWASP**: A01:2021 - Broken Access Control

### 描述
该PHP和MySQL的新闻门户项目在PHPGurukul的管理面板中存在一个访问控制漏洞,允许子管理员用户执行仅管理员可执行的操作。

### 影响
- 从子管理员到管理员同等权限的权限提升
- 未经授权创建特权账户
- 访问控制完整性丧失
- 管理员面板的潜在完全被攻破

### 根本原因
- 缺失服务器端授权检查
- 角色验证仅在前端/UI逻辑中执行
- 在执行仅管理员功能之前未验证用户角色

### 建议
- 在所有管理员受限的端点上强制执行服务器端角色验证
- 在允许访问或处理请求之前验证用户角色(例如,管理员)
- 拒绝访问并对未经授权的角色返回403 Forbidden
```

这段描述应提供对漏洞及其关键方面的一个明晰概览。
    GitHub - Asim-QAZi/BrokenAccessControl-News-Portal-Project-in-PHP-and-MySQL-in-PHPGurukul

  • 标题: PHP Project, PHP Projects Ideas, PHP Latest tutorials, PHP oops Concept -- 🔗来源链接

    标签:product

    PHP Project, PHP Projects Ideas, PHP Latest tutorials, PHP oops Concept
  • https://vuldb.com/?ctiid.341733signaturepermissions-required

  • 标题: CVE-2026-1141 PHPGurukul News Portal Add Sub-Admin add-subadmins.php improper authorization -- 🔗来源链接

    标签:vdb-entry

    神龙速读:
                                            ### 关键漏洞信息

**漏洞名称**:
- PHPGurukul News Portal 1.0 Add Sub-Admin Page /admin/add-subadmins.php 不当授权

**CVE 编号**:
- CVE-2026-1141

**CVSS 评分**:
- CVSS v3 Base Score: 6.3
- CVSS v3 Temp Score: 6.0

**影响产品信息**:
- 收缩包: PHPGurukul
- 名称: News Portal
- 版本: 1.0
- 授权: 免费

**漏洞描述**:
- 此漏洞在 PHPGurukul News Portal 1.0 的 `/admin/add-subadmins.php` 文件中被发现。
- 漏洞涉及一个未知函数在不当授权时的操作, 影响组件的添加子管理员页面。
- 可通过远程攻击进行利用。

**其他信息**:
- 漏洞被评估为严重 (Critical)。
- 当前漏洞的利用价格约为 $0-$5k。
- 已知有公开利用包, 可通过 Google 搜索 `inurl:admin/add-subadmins.php` 找到。
- 漏洞披露和漏洞数据库的最新更新发生在 2026 年 1 月 19 日。
    CVE-2026-1141 PHPGurukul News Portal Add Sub-Admin add-subadmins.php improper authorization
  • https://vuldb.com/?submit.735483third-party-advisory
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1141
四、漏洞 CVE-2026-1141 的评论

暂无评论

发表评论