Dreamer CMS跨站请求伪造漏洞(CNVD-2023-9571566)

 漏洞资讯     |      2023-12-22

一、漏洞分析

公开日期:2023-12-06

危害级别:高 (AV:N/AC:L/Au:S/C:C/I:C/A:C)

二、漏洞描述

Dreamer CMS是中国王俊南(Junnan Wang)个人开发者的一个梦想家内容管理系统。

Dreamer CMS v4.1.3版本存在跨站请求伪造漏洞,该漏洞源于组件/admin/archives/add中未充分验证请求是否来自可信用户,攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。

漏洞类型:通用型漏洞

三、影响产品

Dreamer CMS Dreamer CMS v4.1.3

四、漏洞解决方案

厂商尚未提供漏洞修复方案,请关注厂商主页更新:

https://github.com/Tiamat-ron/cms/blob/main/There%20is%20a%20csrf%20in%20the%20newly%20added%20section%20of%20articl