CVE-2025-0133反射型XSS漏洞利用分析

本文详细分析了Palo Alto Networks PAN-OS软件中存在的CVE-2025-0133反射型跨站脚本漏洞。该漏洞影响GlobalProtect网关和门户功能,攻击者可诱骗认证用户点击恶意链接执行任意JavaScript代码,导致会话劫持和凭据窃取等风险。

CVE-2025-0133

CVE-2025-0133漏洞利用

CVE-2025-0133是Palo Alto Networks PAN-OS®软件GlobalProtect™网关和门户功能中存在的一个反射型跨站脚本(XSS)漏洞。拥有Captive Portal访问权限的认证用户可能被诱骗点击特制链接,导致在其浏览器上下文中执行任意JavaScript代码。这可能造成会话劫持、凭据窃取或其他客户端攻击。

严重等级:中危(CVSS v3.1基础评分:6.1;向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

受影响版本:

  • PAN-OS 11.2 < 11.2.7
  • PAN-OS 11.1 < 11.1.11
  • PAN-OS 10.2 < 10.2.17

发布日期:2025年5月14日 厂商公告:Palo Alto Networks安全公告 NVD条目:CVE-2025-0133

影响:

  • 在受害者浏览器中执行恶意JavaScript代码
  • 可能与其他漏洞结合实现网络钓鱼、数据泄露或进一步利用
  • 对无客户端VPN用户的机密性影响有限(参见PAN-SA-2025-0005)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次