发布日期：2025-11-20
更新日期：2026-01-19

受影响系统：

Grokability Snipe-IT 8.3.4

描述：

---

CVE(CAN) ID: CVE-2025-64027

Snipe-IT是Grokability开源的一套开源IT资产/许可证管理系统。
Snipe-IT 8.3.4版本存在跨站脚本漏洞，该漏洞源于服务器未经净化处理便接受了被修改的输入并将其反射回用户，攻击者可利用该漏洞拦截并修改POST /livewire/update请求，向progress_message注入任意HTML或JavaScript代码，在管理员查看页面时，执行恶意代码。

<**>

建议：

---

厂商补丁：

Grokability
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/grokability/snipe-it/releases

浏览次数：68
严重程度：0（网友投票）