Katalog CVE

CVE-2025-34175

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
14.78%

Percentyl 96 - wyżej niż 96% wszystkich znanych CVE

Streszczenie

W pfSense CE w pliku /usr/local/www/suricata/suricata_filecheck.php wartość parametru filehash jest wyświetlana bez oczyszczania ze znaków/ciągów związanych z HTML. Może to prowadzić do odbitego cross-site scripting (XSS), jeśli ofiara jest uwierzytelniona.

Ocena ryzyka

Ryzyko polega na możliwości wykonania złośliwego skryptu w przeglądarce uwierzytelnionego administratora, co może prowadzić do kradzieży sesji, modyfikacji konfiguracji lub dalszego ataku na sieć.

Rekomendacja

Należy natychmiast zaktualizować pfSense CE do najnowszej wersji zawierającej poprawkę oraz zastosować odpowiednie filtrowanie wejścia i kodowanie wyjścia dla parametru filehash.

Oryginalny opis (angielski, źródło NVD)

In pfSense CE /usr/local/www/suricata/suricata_filecheck.php, the value of the filehash parameter is directly displayed without sanitizing for HTML-related characters/strings. This can result in reflected cross-site scripting if the victim is authenticated.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS