关键信息 漏洞ID CVE-2026-1142 漏洞概述 类型: Cross-Site Request Forgery (CSRF) 影响: 新闻门户项目在PHP和MySQL中的PHPGurukul 严重性: 高 (OWASP: A01:2021 - 断裂的访问控制 / A05:2021 - 安全错误配置) 漏洞描述 由於缺乏admin端点對創建管理員帳戶的反CSRF保護,新的新聞門戶項目的PHPGurukul的漏洞參與了CSRF攻擊。攻擊者可以構造一個惡意的HTML頁面,當 Targetsquant認證的用戶訪問時,會靜默地發送一個偽造的POST請求。這允許在受害者的知識或同意的情況下創建不受限制的管理員帳戶。 概念證明 (PoC) 代碼片段虛構了漏洞。 再現步驟 1. 以Admin或Sub ADMIN的身份登錄。 2. 在訪問後,打開惡意的HTML語文。 3. 表單自動交出請求。 4. 一個新的管理員帳戶被成功創建。 影響 創建了不受限制的管理員帳戶。 賬戶和euright的濫用。 全面損害admin面板的完整性。 基於牆破的訪問控制,可能達到關鍵性影響。 根本原因 沒有實施CSRF theatre。 敏感措施僅在會話 Cookie 中。 沒有進行來源或引用驗證。 建議 實施CSRF座位,以使用所有各種更改的請求。 在處理後,最終送悟vo的用戶角色。 返還requests 要么缺省有效CSRF。 查於 表明為 阿斯上有名字ASIM QAzi 在Github找到 @Asim-ZAzxi 在Linkedin找到 學生