phpokcms 4.x CSRF漏洞

文章目录

漏洞作者: do9gy

可蠕虫,可添加系统管理员。

详细说明:

phpokcms存在csrf漏洞,管理员查看会员列表时不知不觉会自动添加新的系统管理员。

位置在会员头像处的img标签,由于新闻评论可显示头像,也可蠕虫发评论。

下面仅证明添加管理员的部分。

具体代码分析了,直接poc。

漏洞证明:

注册会员后打开如下链接。(域名路径请视情况修改)

然后登录管理员后台,点击会员(此时一个名为admin2 密码为admin2的系统管理员已经添加成功。)

再打开设置,管理员维护去看一下即可。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录