CVE-2025-59935：GLPI项目中输入处理不当导致的跨站脚本漏洞

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-59935

GLPI 是一款免费的资产和IT管理软件包。从版本10.0.0开始，到版本10.0.21之前，未经身份验证的用户可以通过库存（inventory）端点存储XSS有效载荷。用户应升级到10.0.21版本以获取补丁。

技术摘要

CVE-2025-59935 是一个被归类为CWE-79的跨站脚本（XSS）漏洞，影响广泛使用的开源IT资产和服务管理软件GLPI。该漏洞存在于10.0.0至10.0.20版本中，允许未经身份验证的攻击者通过库存端点注入恶意JavaScript有效载荷。这种在网页生成过程中对输入的不当处理，使得攻击者能够存储一个持久性XSS有效载荷，并在合法用户访问受影响页面时执行。该漏洞不需要任何权限或身份验证，从而增加了其风险等级。然而，触发恶意脚本执行需要用户交互。其影响主要涉及机密性，因为攻击者可能窃取会话cookie、以用户身份执行操作或在GLPI Web应用程序的上下文中进行网络钓鱼攻击。该漏洞的CVSS 3.1基本评分为6.5，表明其为中等严重性级别。目前尚未有公开的漏洞利用报告，但由于该漏洞存在于一个流行的ITSM工具中，使其成为攻击者的潜在目标。供应商已在10.0.21版本中解决了该问题，强烈建议用户升级。该漏洞凸显了在Web应用程序中进行适当的输入验证和输出编码以防止XSS攻击的重要性。

潜在影响

对于欧洲组织而言，利用CVE-2025-59935可能导致敏感的IT资产管理数据未经授权泄露、会话劫持以及内部网络中的潜在横向移动。由于GLPI通常用于管理关键的IT基础设施和资产，利用此XSS漏洞的攻击者可能通过针对管理员用户，间接获得立足点或提升权限。该漏洞无需身份验证的特性扩大了攻击面，允许外部威胁参与者在无需事先访问的情况下尝试利用。这可能影响IT管理系统的机密性和信任度，可能中断IT运营或导致数据泄露。如果被利用，金融、医疗保健和政府等数据保护法规严格的行业的组织可能面临合规风险。目前尚无已知漏洞利用程序，这降低了直接风险，但并未消除威胁，尤其是在公开披露后利用代码可能迅速出现。

缓解建议

主要的缓解措施是将GLPI安装升级到10.0.21或更高版本，该版本已修复此漏洞。组织还应对所有用户提供的数据（尤其是库存端点）实施严格的输入验证和输出编码，以防止恶意脚本注入。部署具有检测和阻止针对GLPI的XSS有效载荷规则的Web应用程序防火墙（WAF）可以提供额外的保护。建议监控Web服务器日志和应用程序行为，以发现异常请求或脚本注入企图，从而检测利用尝试。对用户进行有关点击可疑链接或在GLPI中与不受信任内容交互风险的教育，可以减轻成功XSS攻击的影响。应定期对GLPI部署进行安全评估和渗透测试，以主动识别和修复类似漏洞。最后，组织应制定针对Web应用程序攻击的事件响应计划，以便在发生利用时迅速做出响应。

受影响国家

法国、德国、英国、荷兰、意大利、西班牙、比利时

来源： CVE数据库 V5 发布日期： 2025年12月16日，星期二