CERTFR-2024-AVI-1019_Multiples vulnerabilites dans Netgate pfSense

AVIS CERT

CERT-FR

Publié le 26 novembre 2024 à 15h13 - Mis à jour le 17 mars 2025 à 10h28

Objet

Multiples vulnérabilités dans Netgate pfSense

Référence

CERTFR-2024-AVI-1019

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Système(s) affecté(s)

pfSense CE versions antérieures à 2.8.0
pfSense Plus versions antérieures à 24.11

Résumé

De multiples vulnérabilités ont été découvertes dans Netgate pfSense. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Netgate pfSense-SA-24_05 du 13 novembre 2024 : https://docs.netgate.com/downloads/pfSense-SA-24_05.webgui.asc
Bulletin de sécurité Netgate pfSense-SA-24_06 du 13 novembre 2024 : https://docs.netgate.com/downloads/pfSense-SA-24_06.sshguard.asc
Bulletin de sécurité Netgate pfSense-SA-24_07 du 13 novembre 2024 : https://docs.netgate.com/downloads/pfSense-SA-24_07.dhclient.asc
Bulletin de sécurité Netgate pfSense-SA-24_08 du 13 novembre 2024 : https://docs.netgate.com/downloads/pfSense-SA-24_08.webgui.asc

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1019/