Katalog CVE

CVE-2024-57273

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.18%

Percentyl 64 - wyżej niż 64% wszystkich znanych CVE

Streszczenie

Podatność XSS w usłudze automatycznego tworzenia kopii zapasowych konfiguracji (ACB) w systemie pfSense CE (przed wersją 2.8.0 beta) i odpowiadających mu wersjach Plus pozwala zdalnym atakującym na wykonanie dowolnego kodu JavaScript, usunięcie kopii zapasowych lub wyciek wrażliwych informacji poprzez niesanitowane pole 'reason' oraz pochodny klucz urządzenia generowany z publicznego klucza SSH.

Ocena ryzyka

Ryzyko obejmuje możliwość przejęcia kontroli nad sesją użytkownika, kradzież danych uwierzytelniających, usunięcie krytycznych kopii zapasowych konfiguracji oraz wyciek poufnych informacji, co może prowadzić do naruszenia integralności i poufności systemu.

Rekomendacja

Należy natychmiast zaktualizować system pfSense do wersji 2.8.0 beta lub nowszej, która zawiera poprawkę eliminującą podatność XSS w usłudze ACB.

Oryginalny opis (angielski, źródło NVD)

Netgate pfSense CE (prior to 2.8.0 beta release) and corresponding Plus builds is vulnerable to Cross-site scripting (XSS) in the Automatic Configuration Backup (ACB) service, allowing remote attackers to execute arbitrary JavaScript, delete backups, or leak sensitive information via an unsanitized "reason" field and a derivable device key generated from the public SSH key.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS