CMSsite 1.0 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам выполнять несанкционированные административные действия путем создания вредоносных HTML-форм. Злоумышленники могут обманом заставить прошедших проверку подлинности администраторов посещать созданные страницы, которые отправляют POST-запросы к конечной точке user.php с такими параметрами, как source=add_user, source=edit_user или del=1, для создания, изменения или удаления учетных записей администратора.
Показать оригинальное описание (EN)
CMSsite 1.0 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized administrative actions by crafting malicious HTML forms. Attackers can trick authenticated administrators into visiting crafted pages that submit POST requests to the users.php endpoint with parameters like source=add_user, source=edit_user, or del=1 to create, modify, or delete admin accounts.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Victoralagwu Cmssite
cpe:2.3:a:victoralagwu:cmssite:1.0:*:*:*:*:*:*:*
|
— | — |