漏洞描述
赞赞网络科技EyouCms(易优CMS)是中国赞赞网络科技公司的一套基于ThinkPHP的开源内容管理系统(CMS)。
eyoucms 1.4.1 中存在 CSRF 漏洞,可以添加管理员帐户
影响产品
易优CMS Eyoucms v1.3.6 - v1.4.1
漏洞复现
在Eyoucms v1.4.1 中发现一个问题
有一个CSRF漏洞可以通过login.php?m=admin&c=Admin&a=admin_add&lang=cn 添加管理员账号
admin登录后打开csrf exp页面。 点击“提交请求”,发现admin2用户添加成功
漏洞解决方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.eyoucms.com/index.php?m=home&c=Index&a=downdemo
