phpIPAM 是一款開(kāi)源的 Web 型 IP 地址管理(IPAM)工具,旨在簡(jiǎn)化 IP 地址、子網(wǎng)及 DNS 記錄的管理。它支持 IPv4 和 IPv6,提供直觀的用戶(hù)界面,可輕松創(chuàng)建、編輯和分配 IP 地址,支持子網(wǎng)劃分、掩碼計(jì)算及 CIDR 表示。系統(tǒng)具備自動(dòng)沖突檢測(cè)、權(quán)限管理、DNS 集成、設(shè)備關(guān)聯(lián)等功能,支持 RESTful API 擴(kuò)展,并兼容多種數(shù)據(jù)庫(kù)和操作系統(tǒng)。其可視化報(bào)表和多語(yǔ)言支持,使其適用于中小型企業(yè)、數(shù)據(jù)中心及云環(huán)境。。
國(guó)家信息安全漏洞共享平臺(tái)于2025-04-10公布該插件存在XSS跨站腳本漏洞漏洞。
漏洞編號(hào):CNVD-2025-06929、CVE-2024-55093
影響產(chǎn)品:phpIPAM 1.7.3
漏洞級(jí)別:中
公布時(shí)間:2025-04-10
漏洞描述:phpIPAM存在跨站腳本漏洞,該漏洞源于系統(tǒng)對(duì)用戶(hù)輸入的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義,攻擊者利用該漏洞可以通過(guò)注入惡意代碼執(zhí)行任意Web腳本或HTML。。
解決辦法:
目前廠(chǎng)商尚未發(fā)布修復(fù)補(bǔ)丁。可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護(hù)模塊來(lái)解決該問(wèn)題,不止對(duì)該漏洞有效,對(duì)所有XSS跨腳本漏洞都可以防護(hù)。
1、XSS跨站腳本攻擊防護(hù)
『護(hù)衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護(hù)模塊(如下圖一),專(zhuān)門(mén)用于攔截跨站腳本攻擊,默認(rèn)已開(kāi)啟。
(圖一:XSS注入防護(hù)模塊)
浙公網(wǎng)安備 33010602011771號(hào)