关键漏洞信息 漏洞概述 CVE编号: CVE-2026-1745 漏洞类型: Cross-Site Request Forgery (CSRF) 影响: 任意医疗证书删除 产品信息 产品名称: SourceCodester Medical Certificate Generator App 厂商: SourceCodester 产品URL: 链接 漏洞描述 该应用程序由于缺乏适当的CSRF防护而容易受到CSRF攻击,允许攻击者任意删除医疗证书记录,只需欺骗认证用户提交恶意请求。 漏洞利用证明 (Proof of Concept) 攻击者可以托管以下恶意HTML页面并诱使已登录的用户访问: 复现步骤 1. 以有效用户身份登录应用程序 2. 保持会话激活 3. 在浏览器中打开CSRF PoC HTML文件 4. 点击提交请求 5. 指定ID的医疗证书记录被删除 影响 任意删除医疗证书 敏感医疗记录丢失 应用程序数据完整性受损 通过钓鱼或恶意链接进行潜在滥用 根源 缺乏CSRF令牌 缺乏服务器端CSRF验证 仅依赖会话cookie进行授权 未强制SameSite cookie约束 建议缓解措施 为所有状态改变的请求实现CSRF令牌 服务器端验证CSRF令牌 强制执行严格的源和引用验证 发现者 Mo Asim (也称为Asim Qazi), 学生 GitHub: 链接 LinkedIn: 链接