Sicherheitsforscher haben in der Web-Administrationsoberfläche der Open-Source-Firewall pfSense mehrere Sicherheitslücken entdeckt, die Cross-Site Scripting (XSS) ermöglichen, d.h. das Einschleusen von JavaScript-Code durch Angreifer. Zusätzlich können Nutzer mit bestimmten Zugriffsrechten eigenen PHP-Code auf der Firewall ausführen. Das Team hinter pfSense hat diese Lücken in sowohl der Community Edition (CE) als auch der kommerziellen Variante „pfSense Plus“ behoben und stellt entsprechende Updates bereit.

https://www.heise.de/news/Cross-Site-Scripting-Sicherheitsluecken-in-pfSense-ermoeglichen-Admin-Cookieklau-9696756.html