Sicherheitslücke in pfSense WebGUI ermöglicht Cross-Site Scripting

Eine kritische Sicherheitslücke wurde in der WebGUI der pfSense Firewall-Software entdeckt, die Versionen bis einschließlich pfSense Plus 23.09.1 und pfSense CE 2.7.2 betrifft. Die Schwachstelle wurde von Li Jiantao von STAR Labs SG Pte. Ltd. identifiziert und trägt die Kennung WID-SEC-2024-0948.

Die Sicherheitslücke befindet sich in den Drittanbieter-Bibliotheken, die von pfSense für die jquery-treegrid-Komponente verwendet werden, welche wiederum im Dashboard-Widget für Festplatten verwendet wird. Spezifisch geht es um eine Cross-Site Scripting (XSS)-Anfälligkeit in den Unit-Testing-Dateien dieser Bibliothek. Diese Schwachstelle ermöglicht es einem Angreifer, willkürliches JavaScript im Browser eines Benutzers auszuführen, was zur Kompromittierung von Sitzungscookies oder anderen sensiblen Informationen führen kann.

pfSense hat die Schwachstelle bereits in den neuesten Versionen der Software behoben – pfSense Plus in der Version 24.03 und pfSense CE in der Version 2.8.0, welche beide am 16. Februar 2024 aktualisiert wurden. Benutzer der betroffenen Versionen werden dringend aufgefordert, ihre Systeme zu aktualisieren, um den Schutz zu gewährleisten.

Als vorläufige Maßnahme können Nutzer die betroffenen Testdateien und Verzeichnisse manuell aus dem WebGUI-Verzeichnis entfernen, um die unmittelbare Gefahr zu mindern. Es wird auch empfohlen, den Zugriff auf das WebGUI auf vertrauenswürdige Verwaltungshosts und/oder Netzwerke zu beschränken.

Related Posts

Sicherheitslücken im Paket-Tracking-System von GLS aufgedeckt

Bei einem Vortrag auf dem Winterkongress der Digitalen Gesellschaft Schweiz in Winterthur wurde ein Forschungsprojekt vorgestellt, das Schwachstellen in deutschen Paketverfolgungs-Websites untersucht. Nachdem bereits Sicherheitsprobleme bei DHL, DPD und UPS öffentlich gemacht wurden, stehen nun Erkenntnisse über GLS im Fokus.

Read More

Kritische Sicherheitslücke in Akana API Management Plattform

Eine schwerwiegende Sicherheitslücke wurde in der Akana Community Manager Developer Portal, einer populären API-Management-Plattform, identifiziert. Die Schwachstelle, bekannt unter der CVE-Nummer 2024-2796 mit CVE Index 9.3 / 10, ermöglichte eine Server-seitige Anfragefälschung (SSRF).

Read More

Schwere Pufferüberlauf-Schwachstelle in NETGEAR Routern entdeckt

Eine kritische Sicherheitslücke wurde in mehreren Routern des Herstellers NETGEAR Inc. identifiziert. Die betroffenen Modelle weisen eine Pufferüberlauf-Schwachstelle auf, die es nicht authentifizierten Angreifern ermöglichen könnte, die Authentifizierung zu umgehen.

Read More