CVE-2019-25377
متوسطة / Medium
CVSS 4.8
VULNERABILITY BRIEF
CVE-2019-25377
المصدر الرسمي: NVD
مستوى الخطورة
متوسطة (Medium)
درجة CVSS
4.8
حالة الاستغلال KEV
غير مدرجة حاليًا
تاريخ النشر
2026-02-15
وصف الثغرة
تحتوي OPNsense 19.1 على ثغرة انعكاسية في البرمجة عبر المواقع (Cross-Site Scripting) في نقطة النهاية system_advanced_sysctl.php والتي تسمح للمهاجمين بحقن نصوص خبيثة عبر معامل القيمة (value). يمكن للمهاجمين إنشاء طلبات POST تتضمن حمولة نصية بداخل معامل القيمة لتنفيذ جافا سكريبت في سياق جلسات المستخدمين المصادق عليهم.
الأثر المحتمل
يسمح استغلال هذه الثغرة للمهاجمين بتنفيذ جافا سكريبت ضار في جلسات المستخدمين المصادق عليهم مما قد يؤدي إلى سرقة البيانات أو تنفيذ إجراءات غير مصرح بها ضمن سياق المستخدم.
التوصيات والمعالجة
يُنصح بتحديث النظام إلى إصدار خالٍ من هذه الثغرة وعدم إرسال طلبات مشبوهة. راجع روابط المصدر الرسمية لمزيد من المعلومات.
حالة الاستغلال (KEV)
لا يوجد إدراج حاليًا في قائمة KEV.
المراجع الرسمية
English Technical Fields
Description: OPNsense 19.1 contains a reflected cross-site scripting vulnerability in the system_advanced_sysctl.php endpoint that allows attackers to inject malicious scripts via the value parameter. Attackers can craft POST requests with script payloads in the value parameter to execute JavaScript in the context of authenticated user sessions.
CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X