一、 漏洞 CVE-2025-23199 基础信息
漏洞标题
LibreNMS中存储的XSS漏洞-端口部分
来源:AIGC 神龙大模型
漏洞描述信息
LibreNMS 是一个基于社区的GPL许可的网络监控系统。受影响的版本在参数 `/ajax_form.php` -> 参数 descr 中存在存储型XSS漏洞。LibreNMS 版本在24.10.1及之前版本允许远程攻击者注入恶意脚本。当用户查看或与显示数据的页面进行交互时,恶意脚本会立即执行,可能导致未经授权的操作或数据暴露。此问题已在24.11.0版本中得到解决。建议用户进行升级。目前,此漏洞尚无已知的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Stored XSS-LibreNMS-Ports in librenms
来源:美国国家漏洞数据库 NVD
漏洞描述信息
librenms is a community-based GPL-licensed network monitoring system. Affected versions are subject to a stored XSS on the parameter: `/ajax_form.php` -> param: descr. Librenms version up to 24.10.1 allow remote attackers to inject malicious scripts. When a user views or interacts with the page displaying the data, the malicious script executes immediately, leading to potential unauthorized actions or data exposure. This issue has been addressed in release version 24.11.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
LibreNMS 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。 LibreNMS 24.10.1及之前版本存在跨站脚本漏洞,该漏洞源于/ajax_form.php中的参数descr会导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-23199 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-23199 的情报信息
-
标题: StoredXSS-LibreNMS-Ports · Advisory · librenms/librenms · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2025-23199