聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些问题和两个反射型XSS漏洞有关,其中一个是命令注入漏洞。安全研究员 Zeino-Mahmalat 表示,“局域网中的安全性通常更加薄弱,因为网络管理员信任自己的防火墙能够保护他们免遭远程攻击。潜在攻击者可利用已发现漏洞监控流量或者攻击局域网中的服务。”
这些漏洞影响 pfSense CE 2.7.0及以下版本以及 pfSense Pluse 23.05.1及以下版本。攻击者可诱骗已认证的 pfSense 用户(如管理员用户)点击特殊构造的内含可激活命令注入漏洞的 XSS payload 的 URL。
这些漏洞的概述如下:
-
CVE-2023-42325(CVSS评分5.4):该XSS漏洞可导致远程攻击者通过 status_logs_filter_dynamic.php 页面的特殊构造的URL 获得权限。
-
CVE-2023-42327(CVSS评分5.4):该XSS漏洞可导致远程攻击者通过 getserviceproviders.php页面特殊构造的URL获得权限。
-
CVE-2023-42326(CVSS评分8.8):缺少验证可导致攻击者通过 interfaces_gif_edit.php和interfaces_gre_edit.php 组件的构造请求执行任意代码。
反射型 XSS 攻击也被称为非持久性攻击,当攻击者向易受攻击的 web 应用传播恶意脚本时就会发生,之后该恶意脚本以 HTTP 响应方式返回并在受害者的web浏览器上执行。因此,这类攻击可通过内嵌在钓鱼信息或第三方网站中的构造链接的方式触发,如在评论区域或者以社交媒体帖子中的链接方式触发。在 pfSense 案例中,该攻击者可以受害者权限在防火墙中执行操作。
Zeino-Mahmalat 表示,“由于 pfSense 流程以 root 身份运行,能够更改网络设置,因此攻击者可以 root 身份借该攻击执行任意系统命令。”
自2023年7月3日收到漏洞报告后,pfSense CE 2.7.1和 pfSense Plus 23.09 已在上月发布修复了这些漏洞。
几周前,Sonar 公司还详述了位于微软 VSCode 内置 npm 集成中的一个远程代码执行漏洞(CVE-2023-36742,CVSS评分7.8)。该漏洞可被用于执行任意命令。微软已在2023年9月发布的补丁星期二中修复该漏洞。
原文始发于微信公众号(代码卫士):速修复!开源防火墙软件pfSense 中存在多个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论