Zhao Mouren

**Nome do software vulnerável e versões afetadas** pfsense versão 2.5.2 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) no pfsense permite que invasores executem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada na variável `$pconfig` em “interfaces groups edit.php”. Esse problema pode levar à execução de comandos arbitrários. Aproximadamente 612.000 instâncias expostas foram reveladas por um aplicativo ZoomEye Dork. A vulnerabilidade está sendo explorada ativamente. **Recomendações** Para o pfsense versão 2.5.2, atualize o pfsense imediatamente para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso à página “interfaces groups edit.php” e à variável `$pconfig` para minimizar o risco de exploração. Monitore atividades suspeitas.