关键信息摘录 漏洞名称: - Wing FTP Server - Authenticated CSRF (Delete Admin) EID: - 48200 CVE: - N/A 作者: - Dhiraj Mishra 类型: - WebApps 平台: - PHP 发布日期: - 2020-03-11 易受攻击的应用程序: - 无明确信息 描述: - 该漏洞存在于Wing FTP Server 6.2.6版本中,通过在Web客户端和Web管理中利用经过验证的CSRF漏洞,攻击者可以删除管理员用户。管理员需要重新安装程序并重新添加管理员用户。此漏洞在6.2.7版本中得到修复。 漏洞摘要 说明存在一个经过验证的跨站点请求伪造(CSRF)漏洞,在Wing FTP Server 6.2.6版本的Web客户端和Web管理界面中,攻击者可以通过构造的HTML页面删除管理员账户,导致管理员需要重新安装程序并重新添加管理员账户。此漏洞已在6.2.7版本中修复。 漏洞证明概念(PoC) 从截图中提供了漏洞的概念验证代码,其中包含清理字符串、解析Lua代码、文件包含、变量转储等函数,但未直接展示利用漏洞删除管理员的具体代码。 漏洞信息模板