pfSense is een open source FreeBSD-distributie bedoeld voor het opzetten van firewalls en routers op fysieke of virtuele machines. Er zijn een tweetal kwetsbaarheden gevonden in versies 1.0.x tot 2.5.2 en pfSense Plus ouder dan 22.01. Voor beiden zijn gelukkig nog geen actieve exploits gerapporteerd. Beide beveiligingsgaten kunnen gedicht worden door pfSense bij te werken naar de nieuwste versie.
CVE-2022-26019 heeft een lage ernstigheidrating en wordt geclassificeerd als improper access control. Een aanvaller zou ongeauthoriseerde toegang tot functionaliteit die normaal gesproken beperkt is kunnen verkrijgen. Dit komt door onvoldoende restricties in het bestand services_ntpd_gps.php. Een aanvaller kan op afstand bestaande bestanden aanpassen en code uitvoeren op het aangevallen systeem.
CVE-2022-24299 heeft een gemiddelde ernstigheidsscore en wordt geschaard onder improper input validation. Het is mogelijk voor aanvallers willekeurige commando's uit te voeren, door onvoldoende validatie van gebruikersinvoer. Het gaat om de parameter data_ciphers in de pagina's vpn_openvpn_server.php en vpn_openvpn_client.php. Kwaadwillenden kunnen op afstand een invoer maken die op het aangevallen systeem code uitvoert.
Bron: Cybersecurity Help
