CVE-2019-25376
متوسطة / Medium
CVSS 5,1
VULNERABILITY BRIEF
CVE-2019-25376
المصدر الرسمي: NVD
مستوى الخطورة
متوسطة (Medium)
درجة CVSS
5,1
حالة الاستغلال KEV
غير مدرجة حاليًا
تاريخ النشر
2026-02-15
وصف الثغرة
يحتوي OPNsense 19.1 على ثغرة انعكاسية في تنفيذ برمجيات عبر المواقع (XSS) تسمح للمهاجمين غير المصرح لهم بحقن نصوص خبيثة عن طريق إرسال حمولات مصممة من خلال معلمة ignoreLogACL. يمكن للمهاجمين إرسال طلبات POST إلى نقطة النهاية الخاصة بالخادم الوكيل مع كود جافا سكريبت في معلمة ignoreLogACL لتنفيذ نصوص عشوائية في متصفحات المستخدمين.
الأثر المحتمل
قد يؤدي استغلال هذه الثغرة إلى تنفيذ نصوص خبيثة في متصفح المستخدم، مما يمكن أن يؤدي إلى سرقة بيانات الجلسة أو القيام بهجمات انتحال هوية المستخدم أو غيرها من الأنشطة الضارة التي تستغل ضعف الحماية في واجهة المستخدم.
التوصيات والمعالجة
للتقليل من خطورة هذه الثغرة يجب تحديث النظام إلى نسخة أحدث تحتوي على الإصلاحات المناسبة، والتحقق من صحة المدخلات بدقة لتجنب تنفيذ النصوص البرمجية الضارة. راجع روابط المصدر الرسمية للحصول على تعليمات وتحديثات إضافية.
حالة الاستغلال (KEV)
لا يوجد إدراج حاليًا في قائمة KEV.
المراجع الرسمية
English Technical Fields
Description: OPNsense 19.1 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by submitting crafted payloads through the ignoreLogACL parameter. Attackers can send POST requests to the proxy endpoint with JavaScript code in the ignoreLogACL parameter to execute arbitrary scripts in users' browsers.
CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X