e107是e107团队开发的的一套开源、免费且基于PHP和MySQL的内容管理系统(CMS)。该系统支持多种插件和外观主题,可作为个人博客、讨论社区、档案资料库等。 e107 0.7.23之前版本的跨站请求伪造(CSRF)保护机制中存在漏洞,该漏洞源于在创建管理员账户日期上使用可预测的随机令牌。远程攻击者可利用该漏洞借助e107_admin/users.php,劫持增加新用户请求的管理认证。
e107是e107团队开发的的一套开源、免费且基于PHP和MySQL的内容管理系统(CMS)。该系统支持多种插件和外观主题,可作为个人博客、讨论社区、档案资料库等。 e107 0.7.23之前版本的跨站请求伪造(CSRF)保护机制中存在漏洞,该漏洞源于在创建管理员账户日期上使用可预测的随机令牌。远程攻击者可利用该漏洞借助e107_admin/users.php,劫持增加新用户请求的管理认证。