发布日期：2013-02-04
更新日期：2013-02-05

受影响系统：

pfsense pfsense 2.x

描述：

---

pfSense是开源防火墙。

pfSense 2.0.1及其他版本没有正确验证XAuth用户认证阶段的用户名数据，可导致插入任意HTML和脚本代码，然后诱使用户查看这些恶意数据，进而在用户浏览器会话中执行。要利用此漏洞需要根据方案"Mutual RSA", "Mutual PSK", "Hybrid RSA"，完成IPSec Phase 1、Phase 2。

<*来源：Dimitris Strevinas
  
  链接：http://secunia.com/advisories/51981/
        http://packetstormsecurity.com/files/119889/PFsense-UTM-Platform-2.0.1-XSS-CSRF.html
*>

建议：

---

厂商补丁：

pfsense
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载2.1版本：

http://redmine.pfsense.org/projects/pfsense-tools/repository/revisions/0675bde3039a94ee2cadc360875095b797af018f

浏览次数：4515
严重程度：0（网友投票）