CVE-2026-25932GLPI是一款免费的资产和IT管理软件。在0.60至10.0.24之前的版本中,系统存在一处存储型跨站脚本(XSS)漏洞。经过身份认证的技术员用户可以在供应商字段中注入并存储恶意的XSS payload。当其他用户访问受影响的供应商页面时,该payload将在其浏览器中触发执行,可能导致会话劫持或敏感信息泄露。
该漏洞的根本原因是GLPI应用程序在处理供应商管理模块的数据输入时,未对特定字段(如供应商名称或备注)进行充分的输入验证和输出编码。攻击者利用具有技术员权限的账户登录系统,并在创建或编辑供应商信息时,将JavaScript恶意代码作为数据提交。由于后端直接将这些未经过滤的数据存储在数据库中,当管理员或其他拥有更高权限的用户浏览该供应商页面时,Web服务器会将存储的恶意脚本作为HTML文档的一部分返回给客户端。受害者的浏览器解析并执行该脚本,从而允许攻击者利用受害者的身份执行未授权操作,窃取Cookie等敏感数据。尽管CVSS评分要求高权限(PR:H),但鉴于其高影响性(C:H/I:H/A:H),该漏洞仍具有较高的风险。