Krytyczna luka w pfsense CE 2.7.2 umożliwiająca wykonanie kodu

Luka w pfsense CE 2.7.2 umożliwia wykonanie kodu przez moduł instalatora. Zalecane ograniczenie dostępu i monitorowanie systemu.
CVE-2025-69690CVSS 9.1Web

Krytyczna luka w pfsense CE 2.7.2 umożliwiająca wykonanie kodu

Luka w pfsense CE 2.7.2 umożliwia wykonanie kodu przez moduł instalatora. Zalecane ograniczenie dostępu i monitorowanie systemu.

CVSS
9.1 CRITICAL
EPSS
45.96%
Aktywnie wykorzystywana
brak w KEV
Produkt
pfsense

Co wiadomo

Wersja 2.7.2 systemu Netgate pfSense CE zawiera lukę pozwalającą na wykonanie kodu poprzez moduł instalatora wykorzystujący plik kopii zapasowej z serializowanym obiektem PHP zawierającym właściwość post_reboot_commands. Producent podkreśla, że instalator jest dostępny tylko dla administratorów, którzy mają uprawnienia do wykonywania kodu PHP.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.1) może pozwolić na wykonanie nieautoryzowanego kodu na systemach z pfSense CE 2.7.2, co zagraża integralności i dostępności infrastruktury sieciowej. Wykorzystanie tej podatności wymaga dostępu administratora, jednak w środowiskach z wieloma administratorami lub słabą kontrolą dostępu może stanowić poważne ryzyko.

Rekomendowane działania administratora

Zaleca się dokładne przejrzenie uprawnień administratorów oraz ograniczenie dostępu do modułu instalatora. Należy monitorować logi systemowe pod kątem nietypowych działań związanych z instalatorem oraz regularnie sprawdzać dostępność aktualizacji bezpieczeństwa od producenta. W przypadku podejrzenia wykorzystania luki, należy niezwłocznie podjąć działania ograniczające ekspozycję systemu.

Źródła