[TLP:CLEAR] PfSense opravuje 1 zraniteľnosť
PfSense verziou 2.7.1 opravuje zraniteľnosť v produkte PfSense CE a verziou 23.09 v produkte PfSense Plus [1].
Autentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva umožnené vykonať stored XSS útok na administrátorský účet, čo môže spôsobiť neoprávnené spúšťanie príkazov v operačnom systéme postihnutého zariadenia [1]. K zraniteľnosti bolo zverejnené PoC [2].
Zraniteľnosť sa nachádza v produktoch:
- PfSense CE vo verziách ==2.5.2
- PfSense Plus
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-46538 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 10. 2024.
Odkazy
Publikoval Martin Krajči dňa 6. 11. 2024.
