WatchGuard Firebox 漏洞可让管理员攻击者在防火墙上运行代码

WatchGuard 已修复了三个高严重性 Fireware OS 漏洞,这些漏洞影响 Firebox 防火墙设备,如果攻击者已经拥有特权管理员访问权限,则可能使组织面临严重威胁。

这些缺陷于 2026 年 7 月 2 日披露,影响运行多个 Fireware OS 分支的 Firebox 设备。其中两个错误允许执行任意代码,而第三个错误则允许在防火墙文件系统上写入任意文件。

最严重的风险来自管理层面。根据守望卫士,其中一个缺陷可以由经过身份验证的特权用户通过特制的 CLI 命令触发。

这些漏洞被跟踪为 CVE-2026-13053、CVE-2026-13050 和 CVE-2026-13054。这三者的 CVSS v4.0 分数均为 8.6,严重性评级为高。

CVE-2026-13053 是 Fireware OS CLI 中的越界写入漏洞。它可以允许经过特权身份验证的用户通过特制的 CLI 命令执行任意代码。

CVE-2026-13050 是另一个越界写入问题,这次是在网络进程中。这WatchGuard 咨询据称,它可以通过向管理 Web UI 发出特制请求来允许执行任意代码。

CVE问题类型攻击路径影响
CVE-2026-13053越界写入管理命令行界面任意代码执行
CVE-2026-13050越界写入管理网页界面任意代码执行
CVE-2026-13054路径遍历管理网页界面任意文件写入

路径遍历错误扩大了攻击面

第三个缺陷 CVE-2026-13054 影响 Fireware OS Management Web UI。 WatchGuard 说路径遍历漏洞允许经过特权身份验证的攻击者在 Firebox 文件系统上写入任意文件。

尽管 WatchGuard 对它的描述与两个代码执行缺陷不同,但这使得该错误变得危险。任意文件写入漏洞可以帮助攻击者更改文件、篡改配置数据或支持访问设备后的持久性。

防火墙设备通常位于敏感的网络边界。如果攻击者获得了管理帐户的控制权,管理界面中的缺陷可能会将被盗的凭据转化为跨网络的更深层次的访问权限。

受影响的防火墙操作系统版本

WatchGuard 表示,这些漏洞影响 Fireware OS 11.0 至 11.12.4_Update1、12.0 至 12.12、12.5 至 12.5.18 以及 2025.1 至 2026.2。

11.x 分支已终止生命周期,因此仍在运行这些版本的组织应计划迁移,而不是等待修复。对于 12.5.x 分支上的 T15 和 T35 型号,WatchGuard 将问题列为未解决。

修复的版本是适用于 2025.1 分支的 Fireware OS 2026.2.1 和适用于 12.x 分支的 Fireware OS 12.12.1。

  • 将 Fireware OS 2025.1 部署升级到 2026.2.1。
  • 将 Fireware OS 12.x 部署升级到 12.12.1 或更高版本。
  • 替换或迁移 Fireware OS 11.x 部署,因为该分支已终止生命。
  • 查看 12.5.x 上的 T15 和 T35 设备,其中 WatchGuard 将修复列为未解决。
  • 仅将管理访问限制为受信任的管理网络。

WatchGuard 未列出解决方法

WatchGuard 列出了所有三个已解决的漏洞,但没有列出这些漏洞的解决方法。这使得修补成为受影响设备的主要修复步骤。

由于利用需要高权限的身份验证,因此这些缺陷与未经身份验证的面向互联网的远程代码执行错误不同。尽管如此,风险仍然很严重,因为攻击者经常通过网络钓鱼、凭据盗窃、重复使用的密码或受损的管理系统来攻击防火墙管理员帐户。

组织应检查其运行的 Fireware 操作系统版本,确认其 Firebox 模型是否仍受支持,并在存在暴露的管理界面或高风险管理员帐户的情况下安排紧急维护。

为什么这些燃烧室缺陷很重要

防火墙保护网络边缘、VPN 访问、流量规则和安全策略。受损的防火墙可以为攻击者在公司网络内提供宝贵的立足点。

通过在设备上执行代码,攻击者可以尝试更改防火墙规则、检查敏感配置数据、修改 VPN 设置或创建持久性。确切的影响取决于设备配置、公开的服务和帐户权限。

安全团队还应在修补后检查管理员活动日志。任何不寻常的 CLI 使用、意外的 Web UI 更改、新的管理员帐户或修改的配置文件都应触发进一步调查。

管理员应优先考虑修补系统,这些系统将管理访问权限暴露给广泛的内部网络、MSP 环境、远程管理路径或多个操作员使用的跳转主机。

对 Firebox 管理 Web UI 和 CLI 的访问应仅限于受信任的 IP 地址。管理员帐户应在支持的情况下使用唯一的密码和多重身份验证。

升级后,团队应导出并检查配置备份、检查管理员帐户列表并监视日志以查找可疑管理平面活动的迹象。

FAQ

WatchGuard Firebox 存在哪些漏洞?

WatchGuard 修复了三个 Fireware OS 漏洞,编号为 CVE-2026-13053、CVE-2026-13050 和 CVE-2026-13054。其中两种允许经过特权身份验证的用户执行任意代码,而一种允许通过路径遍历写入任意文件。

WatchGuard Firebox 漏洞是否严重?

WatchGuard 将所有三个缺陷的严重程度评为“高”,CVSS v4.0 得分为 8.6。它们需要经过特权身份验证的访问,这使它们低于临界严重性,但它们仍然可能导致严重的防火墙危害。

哪些 Fireware OS 版本受到影响?

据 WatchGuard 称,这些漏洞影响 Fireware OS 11.0 至 11.12.4_Update1、12.0 至 12.12、12.5 至 12.5.18 以及 2025.1 至 2026.2。

哪些版本修复了 WatchGuard Firebox 漏洞?

WatchGuard 将 Fireware OS 2026.2.1 列为 2025.1 分支的修复程序,将 Fireware OS 12.12.1 列为 12.x 分支的修复程序。 Fireware OS 11.x 已终止生命周期,T15 和 T35 型号上的 12.5.x 仍列为未解决问题。

这些 WatchGuard 漏洞有解决方法吗?

WatchGuard 没有列出这三个漏洞的解决方法。组织应安装固定的 Fireware OS 版本并限制对管理界面的访问,直到升级完成。