Dharmesh Baskaran

#16565de 53,634
16.2CVSS total
Vulnerabilidades · 3
Média
3
PT-2021-10306
5.4
2021-07-12
Netgate · Pfsense · CVE-2020-19201
**Nome do software vulnerável e versões afetadas: Netgate pfSense versões 2.4.4-p2 e anteriores Descrição: Foi encontrada uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado na página status filter reload.php da interface WebGUI do software pfSense. A página não codificava corretamente a saída do processo de recarga do filtro, permitindo um ataque XSS armazenado por meio do parâmetro `descr` nas regras NAT. Recomendações: Para as versões 2.4.4-p2 e anteriores do Netgate pfSense, atualize para uma versão que inclua a correção para esta vulnerabilidade, a fim de prevenir ataques XSS armazenados. Como solução temporária, considere restringir o acesso à página status filter reload.php e evitar o uso do parâmetro `descr` nas regras NAT até que um patch esteja disponível.
PT-2021-10309
5.4
2021-07-12
Ipfire · Ipfire · CVE-2020-19204
**Nome do software vulnerável e versões afetadas: IPFire versão 2.21 (x86 64) - Atualização do núcleo 130 Descrição: Existe uma vulnerabilidade de Stored Cross-Site Scripting (XSS), permitindo que um usuário autenticado da WebGUI execute Stored Cross-Site Scripting nas entradas da tabela de roteamento por meio da caixa de texto “Remark” ou do parâmetro `remark` nas entradas da tabela de roteamento “routing.cgi”. Recomendações: Para o IPFire versão 2.21 (x86 64) - Atualização do núcleo 130, como solução temporária, considere restringir o acesso às entradas da tabela de roteamento “routing.cgi” ou evitar o uso do parâmetro `remark` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
PT-2021-10307
5.4
2021-06-17
Ipfire · Ipfire · CVE-2020-19202
**Nome do software vulnerável e versões afetadas: IPFire versão 2.21 (x86 64) - Core Update 130 Descrição: O problema está relacionado a um Stored XSS (Cross-site Scripting) autenticado na página do Captive Portal. Isso ocorre por meio do parâmetro `TITLE` ou da caixa de texto “Título da página de login” no Captive Portal “captive.cgi”. Isso permite que um usuário autenticado da WebGUI com privilégios execute Stored Cross-site Scripting. Recomendações: Para o IPFire versão 2.21 (x86 64) - Atualização do Core 130, considere restringir o acesso à página do Captive Portal até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `TITLE` no Captive Portal “captive.cgi” para minimizar o risco de exploração.