La Habana, 7 de mayo de 2021

Año 63 de la Revolución

Netgate Solutions anunció el lanzamiento de una actualización para corregir vulnerabilidad crítica de scripts entre sitios (XSS) que impacta su solución PfSense, una oferta de código abierto basada en FreeBSD para el enrutamiento y soporte de firewall bajo una licencia de Apache 2.0.

Esta vulnerabilidad fue detectada en pfSense 2.5.0 donde una función desconocida del archivo services_wol_edit.php es afectada y mediante la manipulación del parámetro Description de un input desconocido causa una vulnerabilidad de clase cross site scripting teniendo repercusión sobre su integridad. El investigador de seguridad de Fortinet, William Costa, quien descubrió dicha falla, menciona que un actor de amenazas tratando de explotar la vulnerabilidad podría crear una carga útil maliciosa diseñada para desencadenar la condición XSS y engañar a usuarios con altos privilegios para la ejecución del exploit necesario.

Esta vulnerabilidad ha sido identificada como CVE-2021-27933 y fue agregada a Full Disclosure el 27 de abril de 2021.

Recomendaciones:

Actualizar versión de solución pfSense para corregir vulnerabilidad identificada.

Referencias:

https://noticiasseguridad.com/vulnerabilidades/falla-xss-critica-en-el-firewall-de-codigo-abierto-pfsense-actualice-ahora/

https://vuldb.com/es/?id.174190

Equipo de Respuesta a Incidentes de Seguridad Informática de BioCubaFarma

CSIRT-BCF

https://csirt.biocubafarma.cu/