CVE-2025-64027
Snipe-IT における反射型クロスサイトスクリプティング(XSS)の脆弱性
概要
Snipe-IT(バージョン 8.3.4)において、
CSV インポート処理時に使用される Livewire コンポーネントが、
progress_message の値を サニタイズせず HTML として出力する 挙動が確認されました。
攻撃者が POST /livewire/update リクエストを改ざんし、
progress_message に任意の JavaScript を挿入することで、
管理者画面上でスクリプトが実行される可能性があります。
影響
・ 認証済み管理者のブラウザ上で任意の JavaScript が実行される
・ 不正スクリプトによる設定変更・資産情報操作のリスク
重要度
CVSS v3.1 基本スコア:6.4(中)
基本スコア(Base Score)
6.4 (Medium)
CVSS Vector:
CVSS:CVSS v3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:L
攻撃元区分(Attack Vector)
ネットワーク(Network)
隣接ネットワーク(Adjacent)
ローカル環境(Local)
物理アクセス(Physical)
攻撃の複雑さ(Attack Complexity)
低(Low)
高(High)
必要な権限(Privileges Required)
不要(None)
低(Low)
高(High)
ユーザー関与(User Interaction)
不要(None)
必要(Required)
スコープ(Scope)
変更なし(Unchanged)
変更あり(Changed)
機密性(Confidentiality)
影響なし(None)
低(Low)
高(High)
完全性(Integrity)
影響なし(None)
低(Low)
高(High)
可用性(Availability)
影響なし(None)
低(Low)
高(High)
参考情報
・ 製品:Snipe-IT v8.3.4
・ 影響コンポーネント:CSV Import(/import)、Livewire update
・ ベンダー:Grokability
・ https://github.com/grokability/snipe-it
・ https://github.com/cybercrewinc/CVE-2025-64027/
投稿者プロフィール
-
Associate Red Team Engineer | Bug Bounty Hunter
スリランカ初のHackTheBox Offshore認定を取得したセキュリティエンジニアです。レッドチーム演習、ワイヤレスセキュリティ、マルウェア解析、リバースエンジニアリングを専門とし、Allianz、Crowdstrike、Nokia、WSO2、PayHere、HackerOneなどの大手プラットフォームで重要な脆弱性を発見してきました。複数のHall of Fameに名を連ねるほか、CVE(CVE-2024-34452, CVE-2024-48605)への貢献実績を持ち、世界的に高く評価されています。
主な保有資格:
● OSCP+(OffSec Certified Professional Plus)
● OSCP(Offensive Security Certified Professional)
● OSWP(Offensive Security Wireless Professional)
● HTB Offshore Penetration Tester(Level 3)
● Active Directory Penetration Testing Skill Path
最新の投稿
2025.11.18CVE-2025-64027- 2025.11.07CVE-2025-63589
- 2025.11.07CVE-2025-63588
- 2025.10.09CVE-2024-48605