Origine : bjCSIRT
Numéro : 2024/ALERTE/074
Date de l’alerte : 03/11/2024
APERÇU :
Une vulnérabilité XSS (Cross Site Scripting) découverte dans PfSense permettrait à un acteur malveillant d’exécuter du code arbitraire à distance sur les systèmes affectés.
DESCRIPTION :
PfSense est un système d’exploitation open source basé sur FreeBSD, conçu pour transformer un ordinateur en un routeur ou en un pare-feu robuste, offrant une gestion flexible et des fonctionnalités avancées pour sécuriser et optimiser un réseau.
Cet outil est affecté par une vulnérabilité libellée CVE-2024-46538, qui permettrait d’exécuter du code javascript via une charge utile spécialement conçue, injectée dans la variable $pconfig sur la page interfaces_groups_edit.php. Cette vulnérabilité est liée à un mauvais filtrage des entrées utilisateur. L’exploitation de cette vulnérabilité permettrait une exécution de code à distance lorsque les utilisateurs consultent la page concernée.
Cette vulnérabilité est classée critique avec un score de sévérité de 9,3 selon CVSS:3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Exécution de code à distance.
SYSTÈMES AFFECTÉS :
La version 2.5.2 de PfSense.
MESURES À PRENDRE :
Mettre à jour PfSense vers la dernière version.
RÉFÉRENCES :