PHPKIT 跨站请求伪造漏洞 CVE-2008-7193 CNNVD-200909-146

6.8 AV AC AU C I A
发布: 2009-09-09
修订: 2018-10-11

PHPKIT 1.6.4 PL1将会话ID包含于URL中,这使得远程攻击者可以通过从HTTP Referer中读取PHPKITSID参数并将其使用在一个请求中,来执行跨站请求伪造攻击。该请求用于(1)修改用户的profile(借助于upload_files/include.php)或(2)创建一个新管理员(借助于upload_files/pk/include.php)。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有1条受影响产品信息