L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de pfSense

annonce de vulnérabilité informatique 26137

pfSense : Cross Site Scripting via WebGUI

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 15/05/2018.
Références : pfSense-SA-18_05.webgui, VIGILANCE-VUL-26137.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via WebGUI ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 26135

pfSense : Cross Site Scripting via Status Monitoring

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Status Monitoring de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 15/05/2018.
Références : pfSense-SA-18_01.packages, VIGILANCE-VUL-26135.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via Status Monitoring ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Status Monitoring de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 25743

pfSense : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 30/03/2018.
Références : pfSense-SA-18_02.webgui, pfSense-SA-18_03.webgui, VIGILANCE-VUL-25743.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 25742

pfSense : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de pfSense, afin de forcer la victime à effectuer des opérations.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 30/03/2018.
Références : VIGILANCE-VUL-25742.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de pfSense, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 24778

pfSense : Cross Site Scripting via status_filter_reload.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via status_filter_reload.php de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 15/12/2017.
Références : pfSense-SA-17_11.webgui, VIGILANCE-VUL-24778.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via status_filter_reload.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via status_filter_reload.php de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 24518

pfSense : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 22/11/2017.
Références : pfSense-SA-17_08.webgui, pfSense-SA-17_09.webgui, VIGILANCE-VUL-24518.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 24315

pfSense : Cross Site Scripting via Status Monitoring

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Status Monitoring de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 02/11/2017.
Références : pfSense-SA-17_07.packages, VIGILANCE-VUL-24315.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via Status Monitoring ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Status Monitoring de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 23320

pfSense : Cross Site Scripting via WebGUI

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 21/07/2017.
Références : pfSense-SA-17_05.webgui, VIGILANCE-VUL-23320.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via WebGUI ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 22654

pfSense : Cross Site Scripting via DHCP Lease Hostname

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via DHCP Lease Hostname de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 05/05/2017.
Références : pfSense-SA-17_04.webgui, VIGILANCE-VUL-22654.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via DHCP Lease Hostname ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via DHCP Lease Hostname de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-9042 CVE-2017-6451 CVE-2017-6452

NTP.org : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de NTP.org.
Produits concernés : Mac OS X, Blue Coat CAS, BIG-IP Hardware, TMOS, Fedora, FreeBSD, AIX, McAfee Web Gateway, Meinberg NTP Server, NetBSD, NTP.org, Solaris, Palo Alto Firewall PA***, PAN-OS, pfSense, RHEL, Slackware, Spectracom SecureSync, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Ubuntu, VxWorks.
Gravité : 2/4.
Date création : 22/03/2017.
Date révision : 30/03/2017.
Références : APPLE-SA-2017-09-25-1, bulletinapr2017, CVE-2016-9042, CVE-2017-6451, CVE-2017-6452, CVE-2017-6455, CVE-2017-6458, CVE-2017-6459, CVE-2017-6460, CVE-2017-6462, CVE-2017-6463, CVE-2017-6464, FEDORA-2017-5ebac1c112, FEDORA-2017-72323a442f, FreeBSD-SA-17:03.ntp, HT208144, K02951273, K07082049, K32262483, K-511308, K99254031, NTP-01-002, NTP-01-003, NTP-01-004, NTP-01-007, NTP-01-008, NTP-01-009, NTP-01-012, NTP-01-014, NTP-01-016, PAN-SA-2017-0022, RHSA-2017:3071-01, RHSA-2018:0855-01, SA147, SB10201, SSA:2017-112-02, TALOS-2016-0260, USN-3349-1, VIGILANCE-VUL-22217, VU#633847.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans NTP.org.

Un attaquant peut manipuler une estampille de paquets, afin de faire jeter le trafic de la machine visée. [grav:2/4; CVE-2016-9042]

Un attaquant peut provoquer un débordement de tampon via ntpq, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2017-6460, NTP-01-002]

Un attaquant peut provoquer un débordement de tampon via mx4200_send(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:1/4; CVE-2017-6451, NTP-01-003]

Un attaquant peut provoquer un débordement de tampon via ctl_put(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2017-6458, NTP-01-004]

Un attaquant peut provoquer un débordement de tampon via addKeysToRegistry(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:1/4; CVE-2017-6459, NTP-01-007]

Un attaquant peut provoquer un débordement de tampon dans l'installateur pour MS-Windows, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:1/4; CVE-2017-6452, NTP-01-008]

Un attaquant peut faire exécuter une bibliothèque avec des privilèges élevés via la variable d'environnement PPSAPI_DLLS. [grav:2/4; CVE-2017-6455, NTP-01-009]

Un attaquant authentifié peut soumettre une directive de configuration invalide, afin de mener un déni de service. [grav:2/4; CVE-2017-6463, NTP-01-012]

Un attaquant privilégié peut provoquer un débordement de tampon via datum_pts_receive(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:1/4; CVE-2017-6462, NTP-01-014]

Un attaquant authentifié peut soumettre une directive de configuration "mode" invalide, afin de mener un déni de service. [grav:2/4; CVE-2017-6464, NTP-01-016]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur pfSense :