Katalog CVE

CVE-2025-34172

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.96%

Percentyl 58 - wyżej niż 58% wszystkich znanych CVE

Streszczenie

W pfSense CE w pliku /usr/local/www/haproxy/haproxy_stats.php wartość parametru showsticktablecontent jest wyświetlana po odczytaniu z żądań HTTP GET. Umożliwia to odbity atak XSS, gdy ofiara jest uwierzytelniona.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania złośliwego skryptu w przeglądarce uwierzytelnionego administratora, co może prowadzić do kradzieży sesji, modyfikacji konfiguracji lub innych nieautoryzowanych działań.

Rekomendacja

Należy natychmiast zaktualizować pfSense CE do najnowszej wersji zawierającej poprawkę oraz rozważyć zastosowanie filtrów wejściowych dla parametru showsticktablecontent.

Oryginalny opis (angielski, źródło NVD)

In pfSense CE /usr/local/www/haproxy/haproxy_stats.php, the value of the showsticktablecontent parameter is displayed after being read from HTTP GET requests. This can enable reflected cross-site scripting when the victim is authenticated.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS