一、 漏洞 CVE-2015-2294 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在pfSense 2.2.1之前,WebGUI中的多个跨站点脚本(XSS)漏洞允许远程攻击者通过(1)区域参数向状态_ captiveportal.php注入任意的网页脚本或HTML;(2)if或(3)拖动表格参数向 firewall_rules.php;(4)在添加动作中的队列参数向 firewall_shaper.php;(5)在编辑服务未边界令牌中的任务ID参数向 services_unbound_acls.php;或(6)filterlogentries_time,(7)filterlogentries_sourceipaddress,(8)filterlogentries_sourceport,(9)filterlogentries_destinationipaddress,(10)filterlogentries_interfaces,(11)filterlogentries_destinationport,(12)filterlogentries_protocolflags,或(13)filterlogentries_qty参数向diag_logs_filter.php注入。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in the WebGUI in pfSense before 2.2.1 allow remote attackers to inject arbitrary web script or HTML via the (1) zone parameter to status_captiveportal.php; (2) if or (3) dragtable parameter to firewall_rules.php; (4) queue parameter in an add action to firewall_shaper.php; (5) id parameter in an edit action to services_unbound_acls.php; or (6) filterlogentries_time, (7) filterlogentries_sourceipaddress, (8) filterlogentries_sourceport, (9) filterlogentries_destinationipaddress, (10) filterlogentries_interfaces, (11) filterlogentries_destinationport, (12) filterlogentries_protocolflags, or (13) filterlogentries_qty parameter to diag_logs_filter.php.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Electric Sheep Fencing pfsense WebGUI 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Electric Sheep Fencing pfsense是美国Electric Sheep Fencing公司的一套免费开源的基于FreeBSD的防火墙和路由器软件。 Electric Sheep Fencing pfsense 2.2及之前版本的WebGUI中存在跨站脚本漏洞,该漏洞源于status_captiveportal.php脚本没有充分过滤‘zone’参数;firewall_rules.php脚本没有充分过滤‘if’和‘dragtable’参数;firewall_shaper.php脚本没
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2015-2294 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2015-2294 的情报信息