一、 漏洞 CVE-2026-1148 基础信息

                                        # Patrick Mvuma 跨站请求伪造漏洞

## 概述
SourceCodester/Patrick Mvuma开发的患者候诊区排队管理系统（版本1.0）存在跨站请求伪造（CSRF）漏洞。

## 影响版本
1.0

## 细节
漏洞存在于未知代码部分，攻击者可通过构造特定请求在无需用户身份验证的情况下诱使用户执行非预期操作，从而实现CSRF攻击。

## 影响
攻击者可远程利用该漏洞，诱使用户执行非本意的操作，如修改系统配置或执行敏感功能，可能导致系统被非法操控。
                                        

二、漏洞 CVE-2026-1148 的公开POC

三、漏洞 CVE-2026-1148 的情报信息

• https://vuldb.com/?ctiid.341741signaturepermissions-required

• 标题： Submit #735545: Patrick Mvuma Patients Waiting Area Queue Management System 1.0 Cross-Site Request Forgery -- 🔗来源链接

  标签：third-party-advisory

  神龙速读：

                                          ## 关键漏洞信息
  
  - **漏洞标题**: Patrick Mvuma Patients Waiting Area Queue Management System 1.0 Cross-Site Request Forgery
  - **漏洞类型**: Cross-Site Request Forgery (CSRF)
  - **受影响文件**: pqms/php/api_register_patient.php (用于创建患者)
  - **漏洞描述**: 
    - 漏洞存在于患者注册端点pqms/php/api_register_patient.php，该端点在没有CSRF保护的情况下执行状态更改操作。
    - 未强制执行任何反CSRF令牌验证。
  - **提交者**: bobsux (UID 94358)
  - **提交时间**: 2022年1月9日 08:14 PM
  - **审核时间**: 2022年1月18日 02:50 PM
  - **状态**: 已接受
  - **VulDB条目**: 341741
  - **得分**: 16
                                          

  

• 标题： CVE-2026-1148 SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System cross-site request forgery -- 🔗来源链接

  标签：vdb-entry

  神龙速读：

                                          # 漏洞关键信息
  
  ## 概要
  - **CVE 编号**: CVE-2026-1148
  - **产品**: SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System 1.0
  - **漏洞类型**: Cross-Site Request Forgery (CSRF)
  - **CVSS Meta Temp Score**: 4.3
  - **当前漏洞利用价格**: $0-$5k
  - **CTI Interest Score**: 4.36
  
  ## 详细描述
  - **问题分类**: problemantic
  - **影响范围**: 未知处理过程
  - **漏洞描述**: 恶意操作导致跨站请求伪造漏洞。应用程序对用户的请求验证不足，导致完整性受损。
  - **CWE 编号**: CWE-352
  - **攻击复杂度**: 攻击可以通过远程发起，无需用户交互即可成功。
  
  ## 其他
  - **已知利用情况**: 没有公开的利用细节。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2026-1148

四、漏洞 CVE-2026-1148 的评论