漏洞标题
N/A
漏洞描述信息
## 漏洞概述
MKPortal 的 `admin.php` 文件中的 `ad_perms` 部分存在跨站请求伪造(CSRF)漏洞,允许远程攻击者修改权限设置。
## 影响版本
未指定具体版本。
## 漏洞细节
漏洞存在于 `admin.php` 文件中的 `save_main` 操作中。攻击者可以通过在包含在 IFRAME 元素中的 .swf 文件中使用 `getURL` 方法访问 `admin.php` 来利用此漏洞。
## 漏洞影响
此漏洞允许攻击者将所有访客设置为管理员,从而引发 "All Guests are Admin" 攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site request forgery (CSRF) vulnerability in the save_main operation in the ad_perms section in admin.php in MKPortal allows remote attackers to modify privilege settings, as demonstrated using a getURL of admin.php within a .swf file contained in an IFRAME element, aka the "All Guests are Admin" attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MkPortal 'admin.php' 跨站请求伪造漏洞
漏洞描述信息
MKPortal的admin.php中的ad_perms部分的保存主要操作中存在跨站请求伪造漏洞。远程攻击者可以修改特权设置,比如在一个.swf文件中使用admin.php的getURL,又称"所有的访客都是管理员"攻击。
CVSS信息
N/A
漏洞类别
授权问题