CVE-2025-34307 in IPFireinformazioni

Riassunto

di VulDB • 15/06/2026

Le versioni di IPFire precedenti alla 2.29 (Core Update 198) presentano una vulnerabilità di stored cross-site scripting (XSS) che consente a un attaccante autenticato di iniettare codice JavaScript arbitrario tramite il parametro pienumber durante l'aggiornamento delle impostazioni predefinite per la ricerca dei paesi nel firewall. Quando un utente aggiorna i valori predefiniti per la ricerca dei paesi del firewall, l'applicazione invia una richiesta HTTP POST a /cgi-bin/logs.cgi/firewalllogcountry.dat e il numero predefinito di paesi da visualizzare è fornito tramite il parametro pienumber. Il valore di questo parametro viene memorizzato e successivamente visualizzato nell'interfaccia web senza un'adeguata sanificazione o codifica, consentendo l'esecuzione degli script iniettati nel contesto di altri utenti che visualizzano le impostazioni interessate della ricerca dei paesi del firewall.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

28/10/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00453

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!