YOURLS 1.8.2 存在跨站请求伪造（CSRF）漏洞风险

YOURLS 1.8.2 受跨站请求伪造（CSRF）漏洞影响

安全研究人员近日发现，YOURLS 1.8.2（一款流行的开源 URL 缩短服务）中存在**跨站请求伪造（CSRF）**漏洞。该漏洞被追踪为 Exploit-DB ID 52446，攻击者可通过诱骗已认证用户提交恶意请求，冒用其身份执行未授权操作。

技术细节

该漏洞源于 YOURLS 1.8.2 中的 CSRF 令牌验证不足。攻击者可构造恶意网页或链接，当已认证用户访问时，触发以下非预期操作：

• 创建或删除短链接
• 修改用户设置
• 执行管理员功能（若受害者拥有高权限）

由于攻击依赖社交工程（如诱骗用户点击恶意链接或访问被篡改的网页），因此无需直接访问 YOURLS 管理面板。

影响分析

使用 YOURLS 1.8.2 的组织和个人面临以下风险：

• 未授权 URL 操作：通过受信任的短链接传播钓鱼或恶意软件
• 数据完整性问题：现有 URL 被删除或篡改
• 权限提升：若管理员用户被针对，可能导致更严重的安全威胁

该漏洞对依赖 YOURLS 进行品牌短链接推广的企业尤为严重，因受感染的 URL 可能损害企业声誉并削弱用户信任。

建议措施

1. 立即行动：升级至 YOURLS 最新修补版本（如已发布），或应用维护者提供的安全补丁。
2. 临时缓解：在修补前禁用存在 CSRF 风险的功能。
3. 用户培训：提高用户对钓鱼攻击的识别能力，避免点击可疑链接。
4. 监控审计：检查 YOURLS 日志，留意未授权的 URL 修改或异常活动。

有关技术细节和概念验证（PoC）代码，请参阅 Exploit-DB 原始披露页面。