CVE-2025-34177
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 - wyżej niż 52% wszystkich znanych CVE
Streszczenie
W pfSense CE w pliku suricata_flow_stream.php wartość parametru policy_name nie jest oczyszczana z ciągów/znaków HTML przed bezpośrednim wyświetleniem. Może to prowadzić do trwałego ataku typu cross-site scripting (XSS). Atakujący musi być uwierzytelniony i posiadać co najmniej uprawnienia 'WebCfg - Services: suricata package'.
Ocena ryzyka
Ryzyko polega na możliwości wstrzyknięcia złośliwego skryptu przez uwierzytelnionego użytkownika, który może przejąć sesje innych administratorów, wykraść dane lub wykonać nieautoryzowane działania w interfejsie zarządzania pfSense.
Rekomendacja
Należy natychmiast zaktualizować pakiet Suricata w pfSense CE do najnowszej wersji zawierającej poprawkę zabezpieczającą. Do czasu aktualizacji ogranicz dostęp do interfejsu zarządzania tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
In pfSense CE /suricata/suricata_flow_stream.php, the value of the policy_name parameter is not sanitized of HTML-related strings/characters before being directly displayed. This can result in stored cross-site scripting. The attacker must be authenticated with at least "WebCfg - Services: suricata package" permissions.

