从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞类型:Cross-Site Request Forgery (CSRF) 2. 影响范围:Ampache <= 6.6.0 3. 严重性:Moderate (5.3/10) 4. 描述: - CSRF攻击可以用来删除对象(播放列表、智能列表等)。 - CSRF是一种攻击,迫使已认证的用户向他们当前认证的应用程序提交请求。 - 该漏洞可以通过创建恶意脚本,包含另一个用户播放列表的ID,来利用。 - 当用户提交请求时,他们的播放列表将被删除。 5. PoC: - 登录为用户“demo”,创建一个名为“test playlist”的新播放列表。 - 播放列表分配了ID 461。 - 将以下HTML代码保存到文件中,并将ID替换为要删除的用户播放列表的ID。 - 当他提交请求时,他的播放列表将被删除。 - 要求是用户必须有有效的与测试Ampache的会话。 6. 影响: - 任何具有活跃会话的用户,如果被诱骗提交恶意请求,他们的播放列表或其他对象可能会被删除,而没有他们的同意。 这些信息可以帮助理解漏洞的性质、影响范围和利用方法。