Faille CVE sur PFSENSE 2.5.2

Pfsense n’est plus à présenter. Cette solution firewall est un must dans la gestion de réseaux. Un projet solide qui malgré tout n’est pas à l’abri de faille de sécurité CVE. Et là on peut dire que nous en avons une belle qui met en péril la cybersécurité de votre réseau.

Un module pour Metasploit existe pour cette faille afin de monter un shell :

https://packetstormsecurity.com/files/166208/pfSense-2.5.2-Shell-Upload.html

la faille vient de la page diag_routes.php qui permet une injection de commande pour toutes les versions < 2.5.2

Il faut etre loggé pour avoir la possibilité de lancer l’attaque.

Plus d’info sur l’attaque sur ce post :

https://www.shielder.it/advisories/pfsense-remote-command-execution/

Faites la mise à jour de toute urgence de votre pfsense

Information Valeur

CVE

CVE-2021-41282

CVE publié le

09/03/2022

Score

9

Fuite de données

Critique

Intégrité Système

Critique

Impact sur les ressources

Critique

Compléxité

Facile

Authentification requise

Oui