关键漏洞信息 漏洞类型: Broken Authentication - Old Password Validation 严重性: Critical (9.3/10) 受影响版本: < 3.2.0 修复版本: 3.2.6 CVE ID: CVE-2025-30361 漏洞描述 总结: 在WeGIA Web应用程序中发现了一个安全漏洞,允许在不验证旧密码的情况下更改用户的密码。此问题存在于 端点,使未经授权的攻击者能够绕过身份验证和授权机制,重置任何用户的密码,包括管理员账户。 脆弱端点: POST /WeGIA/control/control.php 详细信息 HTTP请求示例: PoC 更改默认密码: - 使用管理员用户更改默认密码 ,并在 字段中使用随机值。 登录新密码: - 成功使用新密码登录。 影响 请求成功更改了id为1(管理员用户)的用户密码,而无需检查先前的密码验证。