CVE-2025-34174 (CNNVD-202509-1200)
中文标题:
Netgate pfSense CE 安全漏洞
英文标题:
Netgate pfSense CE Status_Traffic_Totals Package v2.3.2_7 Stored Cross-Site Scripting
漏洞描述
中文描述:
Netgate pfSense CE是Netgate公司的一个基于FreeBSD的开源防火墙与路由平台,支持企业级网络安全与网络管理功能。 Netgate pfSense CE存在安全漏洞,该漏洞源于start-day参数未验证为数字或清理HTML字符,可能导致存储型跨站脚本攻击。
英文描述:
In pfSense CE /usr/local/www/status_traffic_totals.php, the value of the start-day parameter is not ensured to be a numeric value or sanitized of HTML-related characters/strings before being directly displayed in the input box. This value can be saved as the default value to be displayed to all users when visiting the Status Traffic Totals page, resulting in stored cross-site scripting. The attacker must be authenticated with at least "WebCfg - Status: Traffic Totals" permissions.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| Netgate | pfSense CE | 2.3.2_7 | - | - |
cpe:2.3:a:netgate:pfsense_ce:2.3.2_7:*:*:*:*:*:*:*
|
| pfsense | pfsense | * | - | - |
cpe:2.3:a:pfsense:pfsense:*:*:*:*:community:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
4.0 (cna)
MEDIUMCVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-34174 |
2025-11-11 15:23:17 | 2025-11-11 07:40:25 |
| NVD | nvd_CVE-2025-34174 |
2025-11-11 15:01:02 | 2025-11-11 07:48:15 |
| CNNVD | cnnvd_CNNVD-202509-1200 |
2025-11-11 15:12:56 | 2025-11-11 08:00:09 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202509-1200
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- affected_products_count: 1 -> 2
- data_sources: ['cve'] -> ['cve', 'nvd']