漏洞概述 CVE ID: CVE-2025-70811 漏洞名称: ACP CSRF (Admin Control Panel Cross-Site Request Forgery) 描述: phpBB 的 Admin Control Panel (ACP) 模块 ( ) 在处理状态改变的 POST 请求时,缺乏 CSRF 验证。攻击者可诱骗已认证的管理员执行非预期操作,导致未经授权的配置更改、权限滥用及账户接管。 严重程度: Moderate (CVSS v3.1 Score: 4.3) 影响范围 受影响版本: phpBB 3.3.15 修复方案 (Mitigation) 强制实施绑定到用户会话的 CSRF 令牌 (Enforce CSRF tokens bound to user session)。 验证令牌的完整性和过期时间 (Validate token integrity and expiration)。 实施 SameSite cookie (Strict 或 Lax 模式) (Implement SameSite cookies)。 验证 Origin/Referer 头 (Validate Origin/Referer headers)。 对敏感的管理操作要求重新认证 (Require re-authentication for sensitive ACP actions)。 利用代码 (POC)