CVE-2025-1545 - WatchGuard Firebox Web CGI 中的 XPath 注入漏洞
概述
CVE-2025-1545 是 WatchGuard Fireware OS 中存在的一个 XPath 注入漏洞。此漏洞可能允许远程未经验证的攻击者,通过暴露的认证或管理 Web 界面,从 Firebox 配置中检索敏感信息。
注意:此漏洞仅影响配置了至少一个认证热点的 Firebox 系统。
影响版本
该问题影响以下版本的 Fireware OS:
- 11.11 至 11.12.4+541730(含)
- 12.0 至 12.11.4(含)
- 12.5 至 12.5.13(含)
- 2025.1 至 2025.1.2(含)
漏洞详情
- 发布日期:2025年12月4日 22:15
- 最后修改日期:2025年12月4日 22:15
- 可远程利用:是
- 数据来源:5d1c2695-1a31-4499-88ae-e847036fd7e3
受影响产品
| ID | 供应商 | 产品 |
|---|---|---|
| 1 | Watchguard | fireware_os |
总计受影响供应商:1 | 受影响产品:1
CVSS 评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.2 | CVSS 4.0 | 高 | 5d1c2695-1a31-4499-88ae-e847036fd7e3 |
解决方案
- 应用供应商补丁以解决 XPath 注入漏洞。
- 将 Fireware OS 更新至最新的已修复版本。
- 如未使用,请禁用认证热点。
- 审查并限制对 Web 界面的访问。
参考链接、解决方案和工具
CWE - 通用缺陷枚举
该漏洞关联以下 CWE 分类:
- CWE-91: XML 注入(又称盲 XPath 注入)
通用攻击模式枚举和分类 (CAPEC)
关联的攻击模式包括:
- CAPEC-83: XPath 注入
- CAPEC-250: XML 注入
漏洞时间线
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | 新增漏洞描述文本 |
| 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 新增 | CWE | - | CWE-91 |
| 新增 | 参考 | - | https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00025 |