支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1153 基础信息
漏洞信息
                                        # 技术老虎 mpay 跨站请求伪造漏洞

## 概述
技术老虎 mpay 在版本 1.2.4 及之前存在一个跨站请求伪造(CSRF)漏洞,攻击者可通过操纵请求实现远程攻击,相关漏洞已公开并可能被利用。

## 影响版本
技术老虎 mpay 1.2.4 及更早版本。

## 细节
该漏洞存在于一个未知函数中,具体触发机制未公开。攻击者可构造恶意请求,在用户无感知的情况下执行非预期操作,实现跨站请求伪造攻击。

## 影响
允许远程攻击者利用 CSRF 漏洞执行未经授权的操作,可能导致账户劫持、数据篡改或敏感操作被触发,且已有公开的利用方式,存在现实威胁。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
technical-laohu mpay cross-site request forgery
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was detected in technical-laohu mpay up to 1.2.4. This affects an unknown function. Performing a manipulation results in cross-site request forgery. Remote exploitation of the attack is possible. The exploit is now public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1153 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1153 的情报信息

  • 标题: The latest version of mpay v1.2.4 has a CSRF vulnerability · Issue #18 · bdkuzma/vuln -- 🔗来源链接

    标签:exploitissue-tracking

    神龙速读:
                                            - **漏洞描述**
  - mpay系统在v1.2.4版本中账户管理的删除功能存在CSRF漏洞。攻击者可利用用户登录状态执行恶意操作,如用户信息泄露、账户篡改或触发敏感操作。

- **漏洞类型**
  - Cross-Site Request Forgery (CSRF)

- **受影响的产品代码仓库**
  - https://gitee.com/technical-laohu/mpay

- **漏洞证明**
  - 包含对账户删除功能的CSRF攻击请求和响应截图。

- **修复建议**
  - 验证请求来源、使用CSRF令牌、设置SameSite cookie属性、对敏感操作进行二次认证。
    The latest version of mpay v1.2.4 has a CSRF vulnerability · Issue #18 · bdkuzma/vuln

  • 标题: Login required -- 🔗来源链接

    标签:signaturepermissions-required

    神龙速读:
                                            从该网页截图中可以获取到以下关于漏洞的关键信息:

- 漏洞标题: TECHNICAL-LAOHU MPAY UP TO 1.2.4 CROSS-SITE REQUEST FORGERY
- 漏洞编号:  
  - VDB-341746
  - CVE-2026-1153
  - GCVE-100-341746

要访问有关该漏洞的详细信息,需要登录账户。
    Login required
  • https://vuldb.com/?id.341746vdb-entry

  • 标题: Submit #735789: https://gitee.com/technical-laohu/mpay mpay v1.2.4 Cross-Site Request Forgery -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 漏洞关键信息

- **漏洞名称:** Cross-Site Request Forgery
- **受影响产品:** https://gitee.com/technical-laohu/mpay mpay v1.2.4
- **漏洞描述:** 在mpay系统的账户管理删除功能中,最新版本v1.2.4存在CSRF漏洞,攻击者可以利用用户的登录状态执行恶意操作,导致用户信息泄露、账户篡改或敏感操作被意外触发。
- **来源:** https://github.com/bdkuzma/vuln/issues/18
- **提交用户:** baiheku (UID 84516)
- **提交时间:** 2021/10/26 5:31 AM
- **审核时间:** 2021/01/26 3:00 PM
- **状态:** 已接受
- **VulDB条目编号:** 341746
- **积分:** 20
    Submit #735789: https://gitee.com/technical-laohu/mpay mpay v1.2.4 Cross-Site Request Forgery
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1153
四、漏洞 CVE-2026-1153 的评论

暂无评论

发表评论