Vigil@nce - pfSense : multiple "Cross Site Scripting" et "Cross Site Request Forgery" de l’interface d’administration
avril 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un "Cross Site Scripting" ou injecter
des requêtes illégitimes dans l’interface d’administration de
pfSense, afin d’exécuter du code JavaScript ou des commandes
applicatives dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 21/02/2017.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit pfSense dispose d’une interface Web pour
l’administration.
Cependant, les données reçues ne sont pas toujours filtrées
avant d’être insérées dans les documents HTML générés et
l’application ne vérifie pas toujours l’enchaines des requêtes
avant d’exécuter une action privilégiée.
Un attaquant peut donc provoquer un "Cross Site Scripting" ou
injecter des requêtes illégitimes dans l’interface
d’administration de pfSense, afin d’exécuter du code JavaScript
ou des commandes applicatives dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET