CVE-2025-63743 CVSS 5.4 中危

CVE-2025-63743 Snipe-IT 存储型XSS漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-63743

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Snipe-IT

漏洞概述

Snipe-IT资产管理系统在8.3.0至8.3.1版本中存在存储型跨站脚本漏洞。拥有最低登录权限的攻击者，可在未设置“显示名称”的情况下，利用“姓名”和“姓氏”字段注入任意恶意JavaScript代码。一旦管理员或其他高权限用户查看系统的“活动报告”或直接访问该用户的个人资料页面，注入的脚本便会自动执行。此漏洞可导致管理员会话被劫持，进而完全控制资产管理系统的安全风险。

技术细节

该漏洞本质上是一种存储型跨站脚本攻击。由于Snipe-IT在处理用户资料更新时，未对“Name”和“Surname”输入字段实施严格的过滤或转义处理，且当用户未设置“Display Name”时，系统会回退使用这些字段进行渲染。攻击者经过认证后，将恶意JS代码存入数据库。当具有权限的用户访问特定的“Activity Report”页面或用户详情页时，服务器直接将未净化的数据输出到HTML上下文中。浏览器解析后执行脚本，攻击者借此窃取Cookie、进行钓鱼或执行管理员权限下的恶意操作，严重威胁系统数据安全。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者注册或获取一个Snipe-IT系统的低权限账户，仅需具备登录权限即可。

STEP 2

步骤2：构造恶意Payload

攻击者准备一段JavaScript代码（如窃取Session的脚本），并将其封装为XSS Payload。

STEP 3

步骤3：注入Payload

攻击者编辑个人资料，清空“Display Name”字段，并将Payload填入“Name”或“Surname”字段后保存。

STEP 4

步骤4：触发漏洞

系统管理员或其他高权限用户在查看“Activity Report”或该用户的个人资料时，浏览器加载包含恶意代码的页面。

STEP 5

步骤5：执行攻击

恶意JavaScript代码在管理员浏览器上下文中执行，可能导致凭证窃取或未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<script>
/*
 * PoC for CVE-2025-63743
 * Description: Stored XSS via Name/Surname fields in Snipe-IT
 * Prerequisite: The user's "Display Name" must be empty.
 */

// Malicious Payload to be injected in the "Name" or "Surname" field
// This payload triggers an alert box to demonstrate execution.
const payload = '<img src=x onerror=alert(\'CVE-2025-63743-XSS\')>';

/*
 * Reproduction Steps:
 * 1. Log in to Snipe-IT as a low-privilege user.
 * 2. Navigate to the user's profile settings (e.g., /account/profile).
 * 3. Ensure the "Display Name" field is cleared/empty.
 * 4. In the "First Name" or "Last Name" input field, paste the payload.
 * 5. Save the profile changes.
 * 6. Log in as an Administrator.
 * 7. Navigate to the "Activity Report" page or view the low-privilege user's profile.
 * 8. Observe the JavaScript alert executing.
 */
</script>

影响范围

Snipe-IT 8.3.0

Snipe-IT 8.3.1

防御指南

临时缓解措施

建议立即将系统升级至v8.3.2版本以彻底修复此漏洞。如果暂时无法升级，管理员应加强个人资料审核，确保“姓名”和“姓氏”字段不包含HTML标签，并强制要求用户设置“Display Name”以绕过漏洞触发条件。同时，应提醒管理员不要轻易点击来源不明的链接或查看可疑的用户活动报告。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表