关于漏洞的关键信息 漏洞名称: Cross-Site Request Forgery (CSRF) of zzzphp CMS 1.6.1 漏洞标识: - EDB-ID: 46488 - CVE: 2019-9082 漏洞类型: WEBAPPS 作者: YANG CHENGLONG 平台: PHP 发布日期: 2019-03-04 受影响的应用: zzzphp CMS 漏洞详情 漏洞描述: 由于请求中缺少CSRF令牌,攻击者可以伪造POST请求,并将恶意代码插入模板文件中,从而导致动态代码评估。 漏洞利用方式: 通过伪造的CSRF攻击,攻击者可以在管理员登录的情况下,自动将恶意代码插入模板文件,导致代码执行。 漏洞利用示例 使用方法 将上述代码保存为HTML文件并托管在Web服务器上。 将链接发送给网站的管理员,并诱使其点击(例如通过请求友链或其他方式)。 如果管理员已登录到管理面板,点击链接后会自动将恶意代码插入模板文件,导致动态代码评估。 备注 该漏洞利用是CVE-2019-9041的跟进漏洞利用。