WatchGuard Firebox 存储型跨站脚本(XSS)漏洞(CVE-2026-13376) 漏洞概述 漏洞ID: WGSA-2026-00018 CVE编号: CVE-2026-13376 CVSS评分: 4.8 CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 状态: 已解决 发布日期: 2026-07-02 更新日期: 2026-07-02 摘要: WatchGuard 防火墙的 spamBlocker 模块存在输入净化不当问题,导致存储型跨站脚本(XSS)漏洞。该漏洞是 CVE-2025-1071 的未缓解攻击路径的补充。 影响范围 受影响产品: Firebox 受影响版本: - Fireware OS 12.0 至 12.12 - Fireware OS 12.5 至 12.5.18 - Fireware OS 2025.1 至 2026.2 修复方案 已解决版本: - Fireware OS 2025.1 → 2026.2.1 - Fireware OS 12.x → 12.12.1 - Fireware OS 12.5.x (T15 & T35 型号) → 未解决 产品列表 Fireware OS 12.5.x: T15, T35 Fireware OS 2025.1.x: T115-W, T125, T125-W, T145, T145-W, T185, M295, M395, M495, M595, M695 Fireware OS 12.x: T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV 其他信息 工作区: 不可用 信用: Simone Paganessi (https://www.linkedin.com/in/simonepaganessi)