CVE-2015-6510,CNNVD-201508-411|Electric Sheep Fencing pfsense 跨站脚本漏洞

Electric Sheep Fencing pfsense 跨站脚本漏洞 CVE-2015-6510 CNNVD-201508-411

4.3 AV AC AU C I A

发布： 2015-08-18

修订： 2019-05-30

CWE-79

Electric Sheep Fencing pfsense是美国Electric Sheep Fencing公司的一套免费开源的基于FreeBSD的防火墙和路由器软件。 Electric Sheep Fencing pfSense 2.2.3之前版本中存在跨站脚本漏洞，该漏洞源于system_advanced_misc.php脚本没有充分过滤‘srctrack’、‘use_mfs_tmp_size’和‘use_mfs_var_size’参数；diag_packet_capture.php脚本没有充分过滤‘port’、‘snaplen’和‘count’参数；interfaces.php脚本没有充分过滤多个参数（pppoe_resethour，pppoe_resetminute，wpa_group_rekey，wpa_gmk_rekey）；interfaces_ppps_edit.php脚本没有充分过滤‘pppoe_resethour’和‘pppoe_resetminute’参数；interfaces_qinq_edit.php脚本没有充分过滤‘member[]’参数；load_balancer_pool_edit.php脚本没有充分过滤‘port’和‘retry’参数；pkg_mgr_settings.php脚本没有充分过滤‘pkgrepourl’参数；services_captiveportal.php脚本没有充分过滤‘zone’参数；services_dnsmasq.und.php脚本没有充分过滤‘port’参数；services_unbound_advanced.php脚本没有充分过滤‘cache_max_ttl’和‘cache_min_ttl’参数；system_advanced_a dmin.php脚本没有充分过滤‘sshport’参数；system_advanced_sysctl.php脚本没有充分过滤多个参数（id，tunable，descr，alue）；system_firmware_settings.php脚本没有充分过滤‘firmwareurl’、‘repositoryurl’和‘branch’参数；system_hasync.php脚本没有充分过滤多个参数（pfsyncpeerip，synchronizetoip，username，passwordfld）；vpn_ipsec_settings.php脚本没有充分过滤‘maxmss’参数；vpn_openvpn_csc.php脚本没有充分过滤多个参数（ntp_server1，ntp_server2，wins_server1，wins_server2）；load_balancer_relay_action.php、load_balancer_relay_action_edit.php、load_balancer_relay_protocol.php和load_balancer_relay_protocol_edit.php脚本没有充分过滤参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有1条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™

Electric Sheep Fencing pfsense 跨站脚本漏洞 CVE-2015-6510 CNNVD-201508-411

漏洞利用/PoC

受影响的平台与产品

贡献用户

相关漏洞清单