PT-2024-7225 · Pfsense · Pfsense
Zhao Mouren
·
Publicado
2024-10-12
·
Atualizado
2025-02-23
·
CVE-2024-46538
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
pfsense versão 2.5.2
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) no pfsense permite que invasores executem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada na variável
$pconfig em “interfaces groups edit.php”. Esse problema pode levar à execução de comandos arbitrários. Aproximadamente 612.000 instâncias expostas foram reveladas por um aplicativo ZoomEye Dork. A vulnerabilidade está sendo explorada ativamente.Recomendações
Para o pfsense versão 2.5.2, atualize o pfsense imediatamente para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso à página “interfaces groups edit.php” e à variável
$pconfig para minimizar o risco de exploração. Monitore atividades suspeitas.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pfsense