漏洞标题: SOUND4 IMPACT/FIRST/PULSE/Eco v2.x - Cross-Site Request Forgery EDB-ID: 51168 CVE: N/A 作者: LIQUIDWORM 类型: LOCAL 平台: WINDOWS 日期: 2023-03-31 受影响的应用: SOUND4 Ltd. 受影响的版本: - Impact/Pulse/First (Version 2: 1.1/2.15) - Impact/Pulse/First (Version 1: 2.1/1.69) - Impact/Pulse Eco 1.16 - Voice Processing: BigVoice4 1.2, BigVoice2 1.30 - Web-Audio Streaming: Stream 1.1/2.4.29 漏洞详情: - 应用界面允许用户在不执行任何有效性检查的情况下通过HTTP请求执行某些操作。这可以被利用以管理员权限执行某些操作,如果登录用户访问了恶意网站。 测试环境: - Apache/2.4.25 (Unix) - OpenSSL/1.0.2k - PHP/7.1.1 - GNU/Linux 5.10.43 (armv7l) - GNU/Linux 4.9.228 (armv7l) 漏洞发现者: Gjoko 'LiquidWorm' Krstic 漏洞咨询ID: ZSL-2022-5722 PoC代码示例: