CVE-2025-63711

Nome do Software Vulnerável e Versões Afetadas SourceCodester Client Database Management System versão 1.0

Descrição Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na aplicação, potencialmente permitindo que um atacante faça com que um usuário administrativo autenticado execute ações sem seu consentimento. O endpoint de exclusão de usuários da aplicação, como /superadmin user delete.php, aceita solicitações POST contendo o parâmetro user id. O endpoint não impõe validação de origem da solicitação ou tokens anti-CSRF, e carece de verificações adequadas de autenticação/autorização e proteções CSRF. Um atacante pode criar uma página maliciosa que aciona a exclusão quando visitada por um administrador autenticado, resultando na remoção arbitrária de contas de usuário.

Recomendações Aplique proteções CSRF adequadas ao endpoint /superadmin user delete.php. Implemente validação de origem da solicitação para garantir que as solicitações se originem de fontes confiáveis. Exija tokens anti-CSRF para todas as solicitações que alteram estado, incluindo exclusão de usuários. Implemente verificações robustas de autenticação e autorização para verificar as permissões do usuário antes de permitir ações de exclusão.