PT-2022-8638 · Netgate · Pfsense+1
Publicado
2022-12-15
·
Atualizado
2022-12-19
·
CVE-2020-21219
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Netgate pfSense versão 2.4.4-Release-p3
Pacote Netgate ACME versão 0.6.3
Descrição
Uma vulnerabilidade de Cross Site Scripting (XSS) permite que invasores remotos executem código arbitrário por meio do campo
RootFolder na página “acme certificate edit.php” do pacote ACME. Isso permite que invasores executem scripts maliciosos no sistema afetado.Recomendações
Para o Netgate pfSense versão 2.4.4-Release-p3, atualize o pacote Netgate ACME para uma versão que corrija a vulnerabilidade XSS.
Para o pacote Netgate ACME versão 0.6.3, considere desativar o acesso à página “acme certificate edit.php” até que um patch esteja disponível.
Como solução alternativa temporária, restrinja a entrada no campo
RootFolder para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Acme Package
Pfsense