Qool CMS 2.0 RC2 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам выполнять административные действия, обманным путем заставляя вошедших в систему пользователей посещать вредоносные веб-страницы. Злоумышленники могут подделать POST-запросы к конечной точке /admin/adduser с такими параметрами, как имя пользователя, пароль, адрес электронной почты и уровень, для создания учетных записей пользователей корневого уровня без согласия пользователя.
Показать оригинальное описание (EN)
Qool CMS 2.0 RC2 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious web pages. Attackers can forge POST requests to the /admin/adduser endpoint with parameters like username, password, email, and level to create root-level user accounts without user consent.
Характеристики атаки
Последствия
Строка CVSS v4.0