### 简要描述:
版本:4.2.100
看到厂商以前忽略过一个csrf。
<code>CSRF风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。</code>
### 详细说明:
老问题,一直没修复。
poc:
```
None
```
[<img src="https://images.seebug.org/upload/201501/1417472601f2b76b1122515f0a9b3448b62ac3ef.png" alt="QQ截图20150114174709.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1417472601f2b76b1122515f0a9b3448b62ac3ef.png)
然后在编辑文件写入一句话木马就OK了。
文件目录 /tpl/www/
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201501/1417472601f2b76b1122515f0a9b3448b62ac3ef.png" alt="QQ截图20150114174709.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1417472601f2b76b1122515f0a9b3448b62ac3ef.png)
[<img src="https://images.seebug.org/upload/201501/1417511707cd648f2bda21e0b09945269436fa5f.png" alt="QQ截图20150114175105.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/1417511707cd648f2bda21e0b09945269436fa5f.png)
京公网安备 11010502034610号
暂无评论