CVE-2025-34175
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 96 - wyżej niż 96% wszystkich znanych CVE
Streszczenie
W pfSense CE w pliku /usr/local/www/suricata/suricata_filecheck.php wartość parametru filehash jest wyświetlana bez oczyszczania ze znaków/ciągów związanych z HTML. Może to prowadzić do odbitego cross-site scripting (XSS), jeśli ofiara jest uwierzytelniona.
Ocena ryzyka
Ryzyko polega na możliwości wykonania złośliwego skryptu w przeglądarce uwierzytelnionego administratora, co może prowadzić do kradzieży sesji, modyfikacji konfiguracji lub dalszego ataku na sieć.
Rekomendacja
Należy natychmiast zaktualizować pfSense CE do najnowszej wersji zawierającej poprawkę oraz zastosować odpowiednie filtrowanie wejścia i kodowanie wyjścia dla parametru filehash.
Oryginalny opis (angielski, źródło NVD)
In pfSense CE /usr/local/www/suricata/suricata_filecheck.php, the value of the filehash parameter is directly displayed without sanitizing for HTML-related characters/strings. This can result in reflected cross-site scripting if the victim is authenticated.

