Combodo iTop中的XSS漏洞CVE-2025-47773

iTop是一个功能强大的开源IT基础架构管理工具，通过提供全面的资产管理和监控功能，从而可帮助企业或组织提高IT管理的效率和效果。

Combodo iTop是一个开源的IT服务管理和CMDB（配置管理系统）平台，该产品旨在帮助企业或组织轻松管理和跟踪其IT基础设施和服务。

一、基本情况

Combodo iTop基于Web界面，且提供了一个全面的视图来管理IT资产、服务流程和工单系统，该平台提供了全面的IT资源管理和监控功能。

Combodo iTop遵循ITIL最佳实践，完全符合ISO/IEC 20000-1标准，确保高质量服务交付，具备简洁的设计、强大功能和灵活的可扩展性。

栋科技漏洞库关注到 Combodo iTop 受影响版本中存在的安全漏洞，该漏洞现在已经被追踪为CVE-2025-47773，漏洞CVSS 3.X评分8.8。

二、漏洞分析

CVE-2025-47773漏洞是在 Combodo iTop 版本低于2.7.13和3.2.2的情况下存在的安全漏洞，通过AJAX调用编辑仪表盘时出现的XSS问题。

具体而言，这是一个存在于路径/pages/ajax.render.php中的XSS漏洞，通过AJAX调用编辑仪表板时容易受到跨站脚本攻击的影响。

三、影响范围

Combodo iTop < 2.7.13

Combodo iTop < 3.2.2

四、修复建议

Combodo iTop >= 2.7.13

Combodo iTop >= 3.2.2

五、参考链接

管理员已设置登录后刷新可查看