CVE-2025-34313 in IPFireinformazioni

Riassunto

di VulDB • 15/06/2026

Le versioni di IPFire precedenti alla 2.29 (Core Update 198) presentano una vulnerabilità di stored cross-site scripting (XSS) che consente a un attaccante autenticato di iniettare codice JavaScript arbitrario tramite il parametro QUOTA_USERS durante la creazione di una regola di quota utente. Quando un utente aggiunge una nuova regola di quota utente, l'applicazione invia una richiesta HTTP POST a /cgi-bin/urlfilter.cgi con il parametro MODE impostato su USERQUOTA e gli utenti assegnati forniti nel parametro QUOTA_USERS. Il valore di questo parametro viene memorizzato e successivamente visualizzato nell'interfaccia web senza una corretta sanificazione o codifica, consentendo l'esecuzione degli script iniettati nel contesto di altri utenti che visualizzano la voce di quota interessata.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

28/10/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00453

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!