漏洞标题
N/A
漏洞描述信息
在 MKPortal 中的 admin.php 的 ad_perms 部分中的 save_main 操作中,存在跨站请求伪造(CSRF)漏洞,这允许远程攻击者修改权限设置,具体演示了使用包含在 iframe 元素的.SWF 文件中的 admin.php 的 getURL 方法,即“所有游客都是管理员”攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site request forgery (CSRF) vulnerability in the save_main operation in the ad_perms section in admin.php in MKPortal allows remote attackers to modify privilege settings, as demonstrated using a getURL of admin.php within a .swf file contained in an IFRAME element, aka the "All Guests are Admin" attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MkPortal 'admin.php' 跨站请求伪造漏洞
漏洞描述信息
MKPortal的admin.php中的ad_perms部分的保存主要操作中存在跨站请求伪造漏洞。远程攻击者可以修改特权设置,比如在一个.swf文件中使用admin.php的getURL,又称"所有的访客都是管理员"攻击。
CVSS信息
N/A
漏洞类别
授权问题