🔍 漏洞发现过程

在一个偶然的夜晚，我使用Shodan进行侦察扫描，搜索公开暴露的PAN-OS（Palo Alto Networks）基础设施。使用的查询语句为：

1

os:"PAN-OS" ssl.cert.subject.CN:"*.com"

扫描结果发现一个VPN门户位于：

1

https://100[.]100.100.100/ssl-vpn/getconfig.esp

检测端点时注意到user参数回显了未经过滤的输入内容，这自然引发了对XSS漏洞的测试意图。

💡 有效载荷构造

经过多次测试验证，最终使用以下简洁而高效的Payload：

1

/ssl-vpn/getconfig.esp?client-type=1&protocol-version=p1&app-version=3.0.1-10&clientos=Linux&os-version=linux-64&hmac-algo=sha1%2Cmd5&enc-algo=aes-128-cbc%2Caes-256-cbc&authcookie=12cea70227d3aafbf25082fac1b6f51d&portal=us-vpn-gwN&user=%3Csvg%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Cscript%3Eprompt%28%22XSS%22%29%3C%2Fscript%3E%3C%2Fsvg%3E&domain=%28empty_domain%29&computer=computer

该Payload的工作原理：

• 在SVG元素内嵌入<script>标签
• 触发包含"XSS"文本的prompt()弹窗以确认执行

将Payload附加到user参数后，成功观察到脚本执行，确认了反射型XSS漏洞的存在。

🧪 测试验证步骤

1. 使用Shodan发现PAN-OS实例
2. 定位易受攻击的端点
3. 向user参数注入Payload
4. 通过浏览器中的prompt()观察JavaScript成功执行

这证实了端点直接将输入内容反射到HTML响应中，缺乏适当的过滤或编码处理。

⚠️ 漏洞影响

虽然该漏洞无法实现完全入侵，但存在严重的客户端风险：

• 在用户浏览器中执行JavaScript代码
• 通过伪造登录提示进行钓鱼攻击
• 输入处理不当导致的用户信任问题

🔐 修复建议

为缓解此问题，建议采取以下措施：

• 在渲染前对输入进行净化处理
• 转义特殊字符以防止注入攻击
• 更新PAN-OS系统以修补CVE-2025-0133漏洞

📎 参考资源

• CVE-2025-0133 — Palo Alto Networks安全公告
• ProjectDiscovery — CVE-2025-0133详情
• CWE-79 — 反射型XSS漏洞类型
• OWASP — XSS防护指南

🎯 总结启示

这个漏洞再次提醒我们：即使像VPN门户这样的安全重点产品，简单的配置错误（如未适当净化的反射参数）仍可能带来严重风险。传统端点可能暴露关键安全缺陷，持续的安全测试和漏洞挖掘至关重要。