Snews CMS 1.7 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам изменять учетные данные администратора без аутентификации, создавая вредоносные HTML-формы. Злоумышленники могут обманом заставить прошедших проверку подлинности администраторов посетить страницу, содержащую скрытую форму, которая отправляет POST-запросы на действие изменения, изменяя параметры имени пользователя и пароля администратора для получения несанкционированного доступа.
Показать оригинальное описание (EN)
Snews CMS 1.7 contains a cross-site request forgery vulnerability that allows attackers to change administrator credentials without authentication by crafting malicious HTML forms. Attackers can trick authenticated administrators into visiting a page containing a hidden form that submits POST requests to the changeup action, modifying the admin username and password parameters to gain unauthorized access.
Характеристики атаки
Последствия
Строка CVSS v4.0