CVE-2025-34172
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 58 - wyżej niż 58% wszystkich znanych CVE
Streszczenie
W pfSense CE w pliku /usr/local/www/haproxy/haproxy_stats.php wartość parametru showsticktablecontent jest wyświetlana po odczytaniu z żądań HTTP GET. Umożliwia to odbity atak XSS, gdy ofiara jest uwierzytelniona.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania złośliwego skryptu w przeglądarce uwierzytelnionego administratora, co może prowadzić do kradzieży sesji, modyfikacji konfiguracji lub innych nieautoryzowanych działań.
Rekomendacja
Należy natychmiast zaktualizować pfSense CE do najnowszej wersji zawierającej poprawkę oraz rozważyć zastosowanie filtrów wejściowych dla parametru showsticktablecontent.
Oryginalny opis (angielski, źródło NVD)
In pfSense CE /usr/local/www/haproxy/haproxy_stats.php, the value of the showsticktablecontent parameter is displayed after being read from HTTP GET requests. This can enable reflected cross-site scripting when the victim is authenticated.

