CVE-2026-25932 是 GLPI 资产和 IT 管理软件中的一个跨站脚本攻击 (XSS) 漏洞。该漏洞允许经过身份验证的管理员用户在供应商字段中存储恶意脚本,从而可能导致攻击者执行恶意代码。受影响的版本包括 GLPI 0.60 到 10.0.24(不含)。该漏洞已在 GLPI 10.0.24 版本中修复。
GLPI的CVE-2026-25932漏洞允许经过身份验证的技术员用户在供应商字段中存储XSS(跨站脚本)有效载荷。这可能允许攻击者在其他GLPI用户的浏览器中执行任意JavaScript代码,从而可能窃取敏感信息(例如登录凭据),修改应用程序的外观或将用户重定向到恶意网站。风险重大,尤其是在用户可以访问GLPI管理的机密数据的环境中。此漏洞影响0.60到10.0.23(不包括)之间的GLPI版本。成功利用需要攻击者在GLPI系统中拥有技术员用户权限。
在GLPI中拥有技术员用户权限的攻击者可以通过在创建或编辑供应商时将恶意JavaScript代码注入到供应商字段中来利用此漏洞。当其他GLPI用户查看受影响的供应商信息时,此代码将执行。攻击者可以使用此代码来窃取会话cookie,将用户重定向到网络钓鱼网站或修改页面内容以欺骗用户。此漏洞的持久性意味着恶意代码将保留在系统中,直到升级或采取反制措施为止。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
推荐的解决方案是将GLPI升级到10.0.24或更高版本。此版本包含一项修复程序,可防止将XSS代码注入到供应商字段中。如果无法立即升级,请考虑实施其他安全措施,例如严格的用户输入验证以及应用内容安全策略(CSP),以降低被利用的风险。定期审查GLPI日志以查找可疑活动,并教育用户了解XSS风险及其识别也非常重要。定期安全审计可以帮助识别和解决潜在的漏洞。
Actualice GLPI a la versión 10.0.24 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente la entrada del usuario en el campo 'Sitio web del proveedor', evitando la ejecución de código malicioso.
漏洞分析和关键警报直接发送到您的邮箱。
XSS(跨站脚本)是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网站中。这些脚本可以窃取信息,将用户重定向到恶意网站或修改网站的外观。
如果您使用的是10.0.24之前的GLPI版本,则您的安装容易受到攻击。请在系统管理页面上检查您的GLPI版本。
立即升级到10.0.24或更高版本。检查GLPI日志以查找可疑活动,并考虑更改所有用户密码。
如果无法立即升级,请实施严格的用户输入验证,并考虑应用内容安全策略(CSP)。
您可以在漏洞数据库(例如国家漏洞数据库(NVD))或GLPI网站上找到有关此漏洞的更多信息。
CVSS 向量