漏洞概述 漏洞名称: CSRF on emailAllUsers.json.php Enables Mass Phishing Email to All Users CVE编号: CVE-2020-26611 严重程度: Moderate (6.5/10) 漏洞类型: CWE-352 (跨站请求伪造) 受影响版本: <= 26.0 已修复版本: 无 --- 漏洞详情 AVideo平台端点 允许管理员向所有注册用户发送HTML邮件,但该端点仅验证管理员会话状态,未验证CSRF令牌。由于AVideo设置 会话cookie,攻击者控制的页面可通过跨域POST请求携带管理员会话cookie,以管理员身份向全平台用户发送任意HTML邮件。 关键缺陷: 第10行进行管理员检查,但无CSRF令牌验证 第41行直接从POST数据获取邮件内容: 第48行将消息作为HTML渲染: 省略 POST参数时,默认发送给所有注册用户( ) 邮件通过平台配置的SMTP服务器发送,可通过SPF/DKIM验证,极具欺骗性。 --- 影响范围 攻击者可利用此漏洞: 向所有平台用户发送攻击者控制的HTML邮件 邮件源自平台合法SMTP地址,通过邮件认证检查 实现大规模钓鱼攻击、凭证窃取、恶意软件分发 造成平台运营者声誉损害 利用条件: 仅需已认证管理员点击一次攻击者控制的页面,无需用户枚举或邮箱地址知识。 --- POC代码 HTML POC(攻击者控制页面) cURL验证命令 --- 修复方案 在 第13行(管理员检查后)添加CSRF令牌验证: