关键漏洞信息 漏洞详情 CVE ID: CVE-2025-60912 描述: phpIPAM v1.7.3 在数据库导出功能中的生成函数 存在跨站请求伪造 (CSRF) 漏洞。若管理员会话处于活跃状态,远程攻击者可通过精心制作的 HTTP GET 请求在 端点触发大型数据库转储下载。 影响产品 厂商: phpIPAM 受影响版本: phpIPAM v1.7.3 及所有之前版本 影响组件 函数 端点 数据库导出功能 漏洞类型 Cross Site Request Forgery (CSRF) 攻击类型 Remote 攻击向量 诱使已认证的 phpIPAM 管理员访问恶意网页,该网页自动向 端点发送 HTTP GET 请求,触发大型数据库导出。 技术细节 未进行 CSRF 令牌验证。 漏洞请求通过 HTTP GET 发送。 会话 Cookie 使用 ,这无法在某些浏览器环境中阻止跨站 GET 请求。 影响 拒绝服务 (DoS): 反复触发大型数据库导出会耗尽服务器资源,导致服务中断。 间接信息暴露: 如果管理员环境被攻破,导出的数据库可能间接暴露敏感信息。 修复/补丁 漏洞已在上游项目的 GitHub 仓库中修复,将在开发版 1.8.0 分支中修复,但不会回溯至 1.7.x 版本。用户应待修复版本发布后及时更新。 提交信息: 修复数据导出中的 CSRF 令牌保护。 提交链接: 