В межсетевом экране IPFire версии 2.29 обнаружена серьёзная уязвимость, позволяющая авторизованным администраторам внедрять постоянный вредоносный код JavaScript через веб-интерфейс управления (firewall.cgi). Данная уязвимость, получившая идентификатор CVE-2025-50975, представляет собой stored XSS (межсайтовый скриптинг с постоянным хранением), который может привести к перехвату сессий, выполнению несанкционированных действий или использованию системы в качестве плацдарма для атак на внутреннюю сеть.
Детали уязвимости
Проблема затрагивает среду, где несколько администраторов имеют доступ к управлению межсетевым экраном. Уязвимость возникает из-за недостаточной обработки входных данных в нескольких параметрах редактора правил межсетевого экрана, включая PROT, SRC_PORT, TGT_PORT, dnatport, key, ruleremark, src_addr, std_net_tgt и tgt_addr. Злоумышленник, имеющий права администратора с доступом к графическому интерфейсу, может внедрить вредоносный JavaScript в эти параметры. После сохранения такого правила код выполняется каждый раз, когда любой администратор открывает страницу с правилами межсетевого экрана.
Возможные последствия эксплуатации уязвимости включают кражу cookies для перехвата сессии, выполнение действий от имени администратора без авторизации, а также развёртывание дополнительных атак на системы внутри сети. Для эксплуатации уязвимости злоумышленнику необходимы только действительные учётные данные администратора с доступом к веб-интерфейсу. Сложность атаки оценивается как низкая, а потенциальный ущерб затрагивает как конфиденциальность, так и целостность данных.
На платформе GitHub доступна GIF-анимация, демонстрирующая proof-of-concept эксплуатации уязвимости. Внедрение вредоносного кода происходит в момент создания или изменения правила, а его выполнение становится очевидным при следующей загрузке страницы с правилами другим администратором.
Для снижения рисков специалисты по кибербезопасности рекомендуют немедленно обновить IPFire до актуальной версии, в которой исправлена обработка входных данных. Также следует ограничить количество пользователей с правами администратора, по возможности внедрить многофакторную аутентификацию и использовать строгую политику безопасности контента (Content Security Policy, CSP) для ограничения выполнения встроенных сценариев. Регулярный аудит правил межсетевого экрана на предмет наличия подозрительных символов или тегов также может помочь в своевременном выявлении потенциальных атак.
Организациям, использующим IPFire в качестве периметрового средства защиты, рекомендуется отнестись к данной уязвимости как к приоритетной угрозе. Своевременное применение исправлений и усиление контроля над административным доступом позволят минимизировать риски, связанные с данной уязвимостью типа stored XSS.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-50975
- https://github.com/4rdr/proofs/blob/main/info/IPFire-2.29-Stored-XSS-via-Firewall.md
