Katalog CVE

CVE-2025-34178

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
3.40%

Percentyl 87 - wyżej niż 87% wszystkich znanych CVE

Streszczenie

W pfSense CE w pliku suricata_app_parsers.php wartość parametru policy_name nie jest oczyszczana z ciągów/znaków HTML przed bezpośrednim wyświetleniem. Może to prowadzić do trwałego ataku typu cross-site scripting (XSS). Atakujący musi być uwierzytelniony i posiadać co najmniej uprawnienia 'WebCfg - Services: suricata package'.

Ocena ryzyka

Ryzyko polega na możliwości wstrzyknięcia złośliwego skryptu przez uwierzytelnionego użytkownika, który może przejąć sesje innych administratorów, wykraść dane lub wykonać nieautoryzowane działania w interfejsie zarządzania.

Rekomendacja

Należy zaktualizować pakiet suricata w pfSense CE do wersji, w której poprawiono walidację parametru policy_name. Do czasu aktualizacji ograniczyć dostęp do usługi suricata tylko do zaufanych administratorów.

Oryginalny opis (angielski, źródło NVD)

In pfSense CE /suricata/suricata_app_parsers.php, the value of the policy_name parameter is not sanitized of HTML-related strings/characters before being directly displayed. This can result in stored cross-site scripting. The attacker must be authenticated with at least "WebCfg - Services: suricata package" permissions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS