VULHUB ™

Epignosis eFront Open Source Edition 3.6.15.3 build 18022之前版本的administrator.php脚本中存在跨站请求伪造漏洞。远程攻击者可借助多个参数（‘delete_module’、‘deactivate_module’、‘activate_module’、‘delete_user’、‘deactivate_user’、‘activate_user’、‘set_theme’、‘set_theme’、‘delete’、‘deactivate_notification’、‘activate_notification’、‘delete_notification’、‘deactivate_language’、‘activate_language’、‘delete_language’）利用该漏洞禁用、启动或删除模块、用户、主题、事件（用户注册或邮件激活）和语言设置；通过发送特制的maintenance请求利用该漏洞禁用或启动用户的autologin功能。

Epignosis eFront Open Source Edition 3.6.15.3 build 18022之前版本的administrator.php脚本中存在跨站请求伪造漏洞。远程攻击者可借助多个参数（‘delete_module’、‘deactivate_module’、‘activate_module’、‘delete_user’、‘deactivate_user’、‘activate_user’、‘set_theme’、‘set_theme’、‘delete’、‘deactivate_notification’、‘activate_notification’、‘delete_notification’、‘deactivate_language’、‘activate_language’、‘delete_language’）利用该漏洞禁用、启动或删除模块、用户、主题、事件（用户注册或邮件激活）和语言设置；通过发送特制的maintenance请求利用该漏洞禁用或启动用户的autologin功能。