概述
CVE-2025-4106是WatchGuard Firebox防火墙中的一个遗留调试代码漏洞。
漏洞描述
拥有管理WebUI和命令行接口访问权限的认证管理员用户,可以通过上传平台和版本特定的诊断包并执行遗留诊断命令,在Firebox上启用诊断调试shell。
此问题影响Fireware OS:从12.0版本开始,到12.11.2之前的版本。
漏洞时间线
- 发布日期:2025年10月24日 晚上10:15
- 最后修改:2025年10月24日 晚上10:15
- 远程利用:是
- 来源:5d1c2695-1a31-4499-88ae-e847036fd7e3
受影响产品
目前尚未记录受影响的具体产品。
总受影响供应商:0 | 产品:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.9 | CVSS 4.0 | 高 | - | - | - | 5d1c2695-1a31-4499-88ae-e847036fd7e3 |
解决方案
- 将Fireware OS更新到不受调试shell漏洞影响的版本
- 更新Fireware OS到12.11.2或更高版本
- 确保调试shell访问受到限制
- 移除遗留诊断命令
- 应用平台特定的诊断包更新
参考链接
CWE关联
- CWE-489: Active Debug Code(活跃调试代码)
CAPEC攻击模式
- CAPEC-121: 利用非生产接口
- CAPEC-661: 通过调试进行Root/越狱检测规避
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | 认证管理员用户可通过上传诊断包启用调试shell |
| 添加 | CVSS V4.0 | - | AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 添加 | CWE | - | CWE-489 |
| 添加 | 参考链接 | - | https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00010 |