CVE-2026-22194 描述了 GestSup 应用程序中存在的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者诱导已登录用户执行未经授权的操作,从而可能导致权限提升。该漏洞影响 GestSup 版本 0 到 3.2.60。建议尽快升级至修复版本以缓解风险。
攻击者可以利用此 CSRF 漏洞诱骗管理员创建新的特权账户,从而完全控制 GestSup 系统。攻击者无需身份验证即可执行这些操作,因为请求会以受害者的身份进行。这可能导致数据泄露、系统篡改,甚至完全控制受影响的服务器。由于该漏洞涉及权限提升,因此潜在影响非常严重,可能导致严重的业务中断和数据损失。
该漏洞已于 2026-01-09 公开披露。目前尚无公开的 PoC 代码,但由于 CSRF 漏洞的普遍性,预计可能会出现。CISA 尚未将其添加到 KEV 目录中。攻击者可能利用现有的 CSRF 攻击技术来利用此漏洞。
Organizations utilizing GestSup for any purpose are at risk, particularly those with administrative interfaces accessible over the internet. Shared hosting environments where multiple users share the same GestSup instance are especially vulnerable, as an attacker could potentially compromise the entire hosting account.
• php / web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep 'Content-Security-Policy'• generic web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep -i 'csrf-token'disclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
由于未提供修复版本,建议采取以下缓解措施。首先,实施严格的输入验证和输出编码,以防止恶意请求。其次,在所有关键操作(如账户创建)上实施 CSRF 令牌验证。第三,审查 GestSup 的配置,确保遵循安全最佳实践。最后,考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止 CSRF 攻击。持续监控系统日志,寻找可疑活动。
将 GestSup 更新到 3.2.60 之后的版本。这将修复允许创建特权帐户的 CSRF 漏洞。有关更新的更多详细信息,请参阅供应商网站上的 changelog。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-22194 是 GestSup 应用程序版本 0–3.2.60 中的跨站请求伪造 (CSRF) 漏洞,攻击者可以诱导用户执行未经授权的操作。
如果您正在使用 GestSup 的版本 0–3.2.60,则可能受到此漏洞的影响。请尽快采取缓解措施。
由于未提供修复版本,建议实施输入验证、CSRF 令牌验证、WAF 和持续监控。
目前尚无公开的利用案例,但由于 CSRF 漏洞的普遍性,预计可能会出现。
请查阅 GestSup 官方网站或安全公告页面以获取更多信息。