pfSense Angriff auf Firewall, ist opnsense auch betroffen?

Started by Megamanwwh, May 08, 2024, 02:43:55 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 08, 2024, 02:43:55 PM
May 08, 2024, 02:52:33 PM #1
Ich würde gerne wieder in einer Welt leben in der man kein Cookie-Abo abschliessen muss für Copy+Paste Inhalte.

Welche CVE ist's denn?


Grüsse
Franco
May 08, 2024, 02:57:18 PM #2
XSS im Web UI ... *gähn*
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 08, 2024, 02:58:21 PM #3
https://docs.netgate.com/downloads/pfSense-SA-24_04.webgui.asc

Scheint eine Schwachstelle im Testcode für jquery-treegrid zu sein, die offenbar in OpnSense nicht eingesetzt wird.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
May 08, 2024, 03:04:16 PM #4
Ja ok wir haben die Dateien nicht aber... hä...

Im Dokument steht 22. April, das Commit is vom 16. Februar?

https://github.com/pfsense/pfsense/commit/4e8f6cedd9c4b32b24ac3619f84e33a9a4708a29

Also wie kommen wir von CSS und JS auf XSS beim Admin?
May 08, 2024, 03:12:06 PM #5
Ok der Admin bekommt also einen Link geschickt mit einer manipulierten URL die auf eine der Dateien zeigt und dann ist Session-Klau angesagt. Klingt das plausibel? Und wenn ja warum steht davon nichts im Report?


Grüsse
Franco
Print
Go Up Pages1
User actions