关键漏洞信息 漏洞类型: Cross-Site Request Forgery (CSRF) 受影响产品: Umbraco CMS 受影响版本: 8.2.2 修复版本: 8.5 CVE编号: CVE-2020-7210 影响程度: 中等 发现时间: 2019年10月 发现者: A. Melnikova (Office Moscow) 漏洞描述 1. CSRF漏洞: 攻击者可以利用csrf对umbraco进行任意web请求,进而修改用户账户状态(如启用、禁用或删除账户)导致用户账户DoS。 证明概念(PoC) 1. HTML代码示例用于在用户不知情的情况下执行对Umbraco CMS的特定请求: - 禁用用户账户 - 启用用户账户 - 删除用户账户 POST请求示例: 推荐措施 立即升级至修复版本Umbraco CMS 8.5以解决此安全问题。 建议进行全面的安全审查由安全专业人员执行以发现和解决所有安全隐患。 漏洞测试 已经验证版本8.2.2存在该漏洞,但8.5版本已经修复。 厂商响应时间线 漏洞发现至修复的大致时间线,包括与厂商沟通和漏洞修复发布情况。 解决方案 提供了修复版本的下载链接以便用户升级:Umbraco CMS下载链接。