一、 漏洞 CVE-2026-1142 基础信息

                                        # PHPGurukul 跨站请求伪造漏洞

## 概述
PHPGurukul News Portal 1.0 存在一个跨站请求伪造（CSRF）安全漏洞，攻击者可利用该漏洞执行未经授权的操作。

## 影响版本
PHPGurukul News Portal 1.0

## 细节
漏洞存在于一个未知函数中，由于缺乏适当的CSRF防护机制，攻击者可通过构造恶意请求诱使用户执行非预期操作。攻击可远程发起，且已有公开的利用代码。

## 影响
攻击者可利用该漏洞在用户不知情的情况下执行任意操作，如修改配置、发布内容或提升权限，可能导致系统被完全控制。
                                        

二、漏洞 CVE-2026-1142 的公开POC

三、漏洞 CVE-2026-1142 的情报信息

• 标题： GitHub - Asim-QAZi/CSRF-Add-Subadmin-in-News-Portal-Project-in-PHP-and-MySql-in-PHPGurukul -- 🔗来源链接

  标签：exploit

  神龙速读：

                                          ### 关键信息
  
  #### 漏洞ID
  - **CVE-2026-1142**
  
  #### 漏洞概述
  - **类型**: Cross-Site Request Forgery (CSRF)
  - **影响**: 新闻门户项目在PHP和MySQL中的PHPGurukul
  - **严重性**: 高 (OWASP: A01:2021 - 断裂的访问控制 / A05:2021 - 安全错误配置)
  
  #### 漏洞描述
  由於缺乏admin端点對創建管理員帳戶的反CSRF保護，新的新聞門戶項目的PHPGurukul的漏洞參與了CSRF攻擊。攻擊者可以構造一個惡意的HTML頁面，當 Targetsquant認證的用戶訪問時，會靜默地發送一個偽造的POST請求。這允許在受害者的知識或同意的情況下創建不受限制的管理員帳戶。
  
  #### 概念證明 (PoC)
  - `HTML`代碼片段虛構了漏洞。
  
  #### 再現步驟
  1. 以Admin或Sub ADMIN的身份登錄。
  2. 在訪問後，打開惡意的HTML語文。
  3. 表單自動交出請求。
  4. 一個新的管理員帳戶被成功創建。
  
  #### 影響
  - 創建了不受限制的管理員帳戶。
  - 賬戶和euright的濫用。
  - 全面損害admin面板的完整性。
  - 基於牆破的訪問控制，可能達到關鍵性影響。
  
  #### 根本原因
  - 沒有實施CSRF theatre。
  - 敏感措施僅在會話 Cookie 中。
  - 沒有進行來源或引用驗證。
  
  #### 建議
  - 實施CSRF座位，以使用所有各種更改的請求。
  - 在處理後，最終送悟vo的用戶角色。
  - 返還requests 要么缺省有效CSRF。
  
  #### 查於
  - 表明為 阿斯上有名字ASIM QAzi
  - 在Github找到 @Asim-ZAzxi
  - 在Linkedin找到 <https://fsis20nicnatiiw.ini>
  - 學生 | 安全研究員
                                          

  

• 标题： PHP Project, PHP Projects Ideas, PHP Latest tutorials, PHP oops Concept -- 🔗来源链接

  标签：product

  
• https://vuldb.com/?ctiid.341734signaturepermissions-required
• https://vuldb.com/?id.341734vdb-entry
• https://vuldb.com/?submit.735498third-party-advisory
• https://nvd.nist.gov/vuln/detail/CVE-2026-1142

四、漏洞 CVE-2026-1142 的评论