CVE-2025-48055 - Combodo iTop用户门户浏览组件存在存储型XSS漏洞
概述
Combodo iTop是一款基于Web的IT服务管理工具。在3.2.2之前版本中,当在用户门户的浏览组件中显示内容时,会发生跨站脚本攻击。该问题已在3.2.2和3.3.0版本中修复。
漏洞详情
发布日期:2025年11月10日 21:15
最后修改:2025年11月10日 21:15
远程利用:是
漏洞来源:security-advisories@github.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Combodo | itop |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.5 | CVSS 3.1 | 高 | 3.1 | 4.7 | - | security-advisories@github.com |
解决方案
- 将Combodo iTop更新到修复版本以防止跨站脚本攻击
- 更新Combodo iTop至版本3.2.2或更高版本
- 应用供应商提供的安全补丁
- 验证升级完成情况
参考信息
URL:https://github.com/Combodo/iTop/security/advisories/GHSA-684h-f39j-5gq8
CWE常见弱点枚举
CWE-79:在网页生成过程中输入中和不当(跨站脚本)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX指纹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
新CVE接收:由security-advisories@github.com于2025年11月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Combodo iTop是基于Web的IT服务管理工具。在3.2.2之前版本中,当在用户门户的浏览组件中显示内容时,会发生跨站脚本攻击。该问题已在3.2.2和3.3.0版本中修复。 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
| 添加 | CWE | - | CWE-79 |
| 添加 | 参考信息 | - | https://github.com/Combodo/iTop/security/advisories/GHSA-684h-f39j-5gq8 |
漏洞评分详情
CVSS 3.1基础分数:8.5
攻击向量:网络
攻击复杂度:低
所需权限:低
用户交互:无
范围:变更
机密性影响:高
完整性影响:低
可用性影响:无