CVE-2025-64027
Snipe-IT における反射型クロスサイトスクリプティング(XSS)の脆弱性
報告者
株式会社CyberCrew
概要
Snipe-IT(バージョン 8.3.4)において、
CSV インポート処理時に使用される Livewire コンポーネントが、
progress_message の値を サニタイズせず HTML として出力する 挙動が確認されました。
攻撃者が POST /livewire/update リクエストを改ざんし、
progress_message に任意の JavaScript を挿入することで、
管理者画面上でスクリプトが実行される可能性があります。
影響
・ 認証済み管理者のブラウザ上で任意の JavaScript が実行される
・ 不正スクリプトによる設定変更・資産情報操作のリスク
重要度
CVSS v3.1 基本スコア:6.4(中)
基本スコア(Base Score)
6.4 (Medium)
CVSS Vector:
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:L
攻撃元区分(Attack Vector)
ネットワーク(Network)
隣接ネットワーク(Adjacent)
ローカル環境(Local)
物理アクセス(Physical)
攻撃の複雑さ(Attack Complexity)
低(Low)
高(High)
必要な権限(Privileges Required)
不要(None)
低(Low)
高(High)
ユーザー関与(User Interaction)
不要(None)
必要(Required)
スコープ(Scope)
変更なし(Unchanged)
変更あり(Changed)
機密性(Confidentiality)
影響なし(None)
低(Low)
高(High)
完全性(Integrity)
影響なし(None)
低(Low)
高(High)
可用性(Availability)
影響なし(None)
低(Low)
高(High)
参考情報
・ 製品:Snipe-IT v8.3.4
・ 影響コンポーネント:CSV Import(/import)、Livewire update
・ ベンダー:Grokability
・ https://github.com/grokability/snipe-it
・ https://github.com/cybercrewinc/CVE-2025-64027/
