漏洞关键信息总结 标题: PHPGurukul PHPGurukul Small Customer Relationship Management v4.0 Missing Authorization 描述: - PHPGurukul Small CRM 4.0 应用中存在一个关键漏洞,其授权机制在提供管理内容前未验证用户角色。该应用仅检查用户是否已认证,而不检查其授权级别。 - 任何已认证用户可通过直接访问管理URL(例如,/crm/admin/home.php、/crm/admin/edit-user.php)访问管理功能,而无需任何角色验证。这允许从普通用户到管理员的完全权限升级,实现对敏感数据、用户修改和系统破坏的未经授权访问。 - 一个具有低权限的认证攻击者可以获取应用的完整管理访问,查看和修改所有用户数据,提升权限,从而危及整个系统。 来源: - 源码链接:  提交者: - hackerfactory (UID 85869) 提交日期: 12/31/2025 12:08 AM 审核日期: 12/31/2025 09:51 AM 状态: 已接受 VulDB ID: 339151 相关漏洞条目: [PHPGurukul Small CRM 4.0 /admin/edit-user.php authorization] 积分: 20