L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de pfSense

alerte de vulnérabilité informatique 28386

pfSense : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 29/01/2019.
Références : VIGILANCE-VUL-28386.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-4019 CVE-2018-4020 CVE-2018-4021

pfSense : élévation de privilèges via system_advanced_misc.php

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via system_advanced_misc.php de pfSense, afin d'élever ses privilèges.
Produits concernés : pfSense.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 03/12/2018.
Références : CVE-2018-4019, CVE-2018-4020, CVE-2018-4021, pfSense-SA-18_09.webgui, TALOS-2018-0690, VIGILANCE-VUL-27937.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via system_advanced_misc.php de pfSense, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-16055

pfSense : élévation de privilèges via dhcp_relinquish_lease

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via dhcp_relinquish_lease de pfSense, afin d'élever ses privilèges.
Produits concernés : pfSense.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 03/12/2018.
Références : CVE-2018-16055, pfSense-SA-18_08.webgui, VIGILANCE-VUL-27936.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via dhcp_relinquish_lease de pfSense, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 27935

pfSense : Cross Site Scripting via WebGUI

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/12/2018.
Références : pfSense-SA-18_07.webgui, VIGILANCE-VUL-27935.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via WebGUI ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 27934

pfSense : Cross Site Scripting via WebGUI

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/12/2018.
Références : pfSense-SA-18_06.webgui, VIGILANCE-VUL-27934.

Description de la vulnérabilité

Le produit pfSense dispose d'un service web.

Cependant, les données reçues via WebGUI ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via WebGUI de pfSense, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-6925

FreeBSD : déni de service via IPv6 listen

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via IPv6 listen() de FreeBSD, afin de mener un déni de service.
Produits concernés : FreeBSD, pfSense.
Gravité : 1/4.
Conséquences : déni de service du serveur.
Provenance : shell utilisateur.
Date création : 28/09/2018.
Références : CVE-2018-6925, FreeBSD-EN-18:11.listen, pfSense-SA-18_09.webgui, VIGILANCE-VUL-27360.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via IPv6 listen() de FreeBSD, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-17154

FreeBSD : déréférencement de pointeur NULL via freebsd4_getfsstat

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via freebsd4_getfsstat() de FreeBSD, afin de mener un déni de service.
Produits concernés : FreeBSD, pfSense.
Gravité : 1/4.
Conséquences : déni de service du serveur.
Provenance : shell utilisateur.
Date création : 28/09/2018.
Références : CVE-2018-17154, FreeBSD-EN-18:10.syscall, pfSense-SA-18_09.webgui, VIGILANCE-VUL-27359.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via freebsd4_getfsstat() de FreeBSD, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-17155

FreeBSD : obtention d'information via getcontext/swapcontext

Synthèse de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via getcontext/swapcontext de FreeBSD, afin d'obtenir des informations sensibles.
Produits concernés : FreeBSD, pfSense.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 28/09/2018.
Références : CVE-2018-17155, FreeBSD-EN-18:12.mem, pfSense-SA-18_09.webgui, VIGILANCE-VUL-27358.

Description de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via getcontext/swapcontext de FreeBSD, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-6924

FreeBSD : lecture de mémoire hors plage prévue via ELF Header

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via ELF Header de FreeBSD, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : FreeBSD, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, pfSense.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du serveur.
Provenance : document.
Date création : 12/09/2018.
Références : CERTFR-2019-AVI-169, CVE-2018-6924, FreeBSD-SA-18:12.elf, JSA10937, VIGILANCE-VUL-27220.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via ELF Header de FreeBSD, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-15473

OpenSSH : obtention d'information via Username Enumeration

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Enumeration de OpenSSH, afin d'obtenir des informations sensibles.
Produits concernés : Blue Coat CAS, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Fedora, AIX, McAfee Web Gateway, Data ONTAP, OpenSSH, openSUSE Leap, Solaris, pfSense, RHEL, SIMATIC, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 16/08/2018.
Références : bulletinjan2019, CERTFR-2018-AVI-410, CVE-2018-15473, DLA-1474-1, DSA-4280-1, FEDORA-2018-065a7722ee, FEDORA-2018-f56ded11c4, NTAP-20181101-0001, openSUSE-SU-2018:3801-1, openSUSE-SU-2018:3946-1, RHSA-2019:0711-01, SB10267, SSB-439005, SUSE-SU-2018:3540-1, SUSE-SU-2018:3686-1, SUSE-SU-2018:3768-1, SUSE-SU-2018:3776-1, SUSE-SU-2018:3781-1, SUSE-SU-2018:3910-1, SYMSA1469, USN-3809-1, VIGILANCE-VUL-27016.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Enumeration de OpenSSH, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur pfSense :