pfSense における設定情報の検証不備に起因する OS コマンドインジェクションの脆弱性(Scan Tech Report) | ScanNetSecurity
2024.03.29(金)

pfSense における設定情報の検証不備に起因する OS コマンドインジェクションの脆弱性(Scan Tech Report)

2023 年 3 月にオープンソースのファイアウォール製品である pfSense の、遠隔からの任意のコード実行が可能となる脆弱性が公開されています。

脆弱性と脅威 エクスプロイト
www.pfsense.org
www.pfsense.org 全 1 枚 拡大写真
◆概要
 2023 年 3 月にオープンソースのファイアウォール製品である pfSense の、遠隔からの任意のコード実行が可能となる脆弱性が公開されています。攻撃者により脆弱性が悪用されてしまった場合は、root 権限で侵入されてしまいます。ソフトウェアのアップデートやアカウント管理の強化により対策してください。

◆分析者コメント
 脆弱性の悪用には、「WebCfg - Diagnostics: Backup & Restore」という特権を持つアカウントで pfSense の管理用 Web コンソールへのアクセスが必要です。十分な特権を持つアカウントでの管理用 Web コンソールへのログインに成功すれば、脆弱性の悪用自体は容易であるため、アップデートが難しい場合は認証情報を見直して強化することで対策しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
8.8

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-27253&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 pfSense のバージョン 2.6.0 およびそれよりも古いバージョンが脆弱性の影響を受けると報告されています。

◆解説
 オープンソースのファイアウォール製品である pfSense に、管理用 Web コンソールの認証後に悪用可能な、遠隔コード実行の脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. 焼津市でサポート詐欺被害、約 15,000 件の登録者情報が漏えいした可能性

    焼津市でサポート詐欺被害、約 15,000 件の登録者情報が漏えいした可能性

  3. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  4. 同一顔画像の偽造書類検知、業界横断不正検知サービス「LIQUID Shield」

    同一顔画像の偽造書類検知、業界横断不正検知サービス「LIQUID Shield」

  5. WordPress 用プラグイン Survey Maker に複数の脆弱性

    WordPress 用プラグイン Survey Maker に複数の脆弱性

ランキングをもっと見る
PageTop