漏洞关键信息 漏洞概述 漏洞类型: CSRF (Cross-Site Request Forgery) 受影响系统: Gym Management System 技术栈: PHP and MySQL CVE编号: CVE-2024-55271 漏洞位置: Profile Update Section (/profile.php endpoint) 审计信息 审计员: Shoaib Alam 审计员LinkedIn Profile: LinkedIn Profile 漏洞描述 漏洞详情: 系统在用户面板的个人资料更新功能中存在CSRF漏洞,由于缺乏Anti-CSRF tokens的实现,导致CSRF攻击的可能性。 影响: 攻击者可以利用此漏洞对敏感用户信息执行未经授权的修改,如地址,姓名和电话号码,这可能削弱用户账户的完整性并引发进一步的安全问题。 漏洞证明(PoC) 生成工具: Burp Suite Professional 代码示例: