CVE-2025-63737 漏洞总结 漏洞概述 漏洞名称: Snipe-IT 认证存储型跨站脚本 (Stored XSS) CVE ID: CVE-2025-63743 漏洞类型: 存储型跨站脚本 (Stored Cross-Site Scripting) 漏洞描述: 具有最低权限的认证攻击者可以在个人资料更新时注入 JavaScript 载荷到名字或姓氏字段。如果“显示名称”字段保持未设置,后端 API 会返回未转义的 JavaScript 代码,导致存储型 XSS。 受影响版本: v8.3.0 修复版本: v8.3.2 发布日期: 2026-04-12 影响范围 受影响软件: Snipe-IT web-based asset management system 受影响版本: v8.3.0 利用条件: 1. 攻击者需拥有登录权限。 2. 攻击者个人资料中的“显示名称”字段必须未设置。 3. 受害者需具有足够权限访问“Reports > Activity Report”页面,或通过“People”菜单/直接打开“History”标签页查看受影响用户的个人资料。 修复方案 修复版本: v8.3.2 修复提交: (2025年9月8日) 漏洞引入提交: (2025年8月25日) 修复代码位置: 第180行,该处未转义 值。 POC 代码 1. 触发 XSS 的 HTTP POST 请求 2. 包含恶意载荷的 API 响应 (JSON)