关键漏洞信息 漏洞描述 问题: Dashboard widget key处理中的多个问题,源于对Dashboard widget keys的验证不足。 影响版本: - pfSense Plus: 版本24.11及更早版本 - pfSense CE: 版本2.7.2及更早版本 影响 潜在风险: - 恶意客户端可以使用无效数据填充 参数,导致配置错误和潜在的XSS攻击向量。 - 如果提交包含XML的 值,可能导致配置变得不可读,破坏GUI访问并可能使系统崩溃。 - 缺乏对某些值的安全编码可能导致某些小部件易受XSS攻击,存在执行任意JavaScript代码的风险。 解决方案 升级建议: - 升级到pfSense Plus 25.03或更高版本,或pfSense CE 2.8.0及更高版本(可用时)。 - 使用推荐的补丁列表应用修复,或手动应用相关修订。 工作区绕过 临时措施: - 限制对受影响页面的访问仅限于可信管理员。 - 不要授予用户不必要的写入配置权限。 - 避免使用同一浏览器进行非管理性网络浏览登录防火墙。 参考资料 Redmine Issue 安装指南 系统补丁