CRITICAL🇬🇧 English

CVE-2025-69690

pfSense CE 2.7.2 — RCE przez deserializację PHP w instalatorze modułów

CVSS 9.1v3.1pub. 2026-05-08upd. 2026-05-12

Podatność w Netgate pfSense CE 2.7.2 umożliwia wykonanie dowolnego kodu poprzez przesłanie pliku kopii zapasowej zawierającego zserializowany obiekt PHP z właściwością post_reboot_commands. Pomimo oceny CRITICAL, dostawca kwestionuje tę podatność, wskazując że instalator modułów jest dostępny wyłącznie dla administratorów, którym wykonywanie kodu PHP jest celowo dozwolone.

Pokaż oryginał (EN)

Netgate pfSense CE 2.7.2 allows code execution by using the module installer with a backup file with a serialized PHP object containing the post_reboot_commands property. NOTE: the Supplier disputes this because this installer is only available to admins and they are intentionally allowed to execute PHP code.

🤖 Analiza AI
Jak działa

Atakujący posiadający uprawnienia administratora może skorzystać z instalatora modułów w pfSense CE 2.7.2, przesyłając spreparowany plik kopii zapasowej. Plik ten zawiera zserializowany obiekt PHP wykorzystujący właściwość post_reboot_commands. Podczas przetwarzania pliku przez aplikację następuje deserializacja obiektu (CWE-502), co prowadzi do wykonania osadzonych poleceń. Podatność wiąże się również z niewystarczającą kontrolą właściwości modyfikowanych przez użytkownika w trakcie deserializacji (CWE-915).

Skutki

Uwierzytelniony administrator może osiągnąć pełne wykonanie kodu (RCE) na serwerze pfSense, potencjalnie przejmując kontrolę nad urządzeniem sieciowym i całą infrastrukturą zarządzaną przez firewall.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo należy ograniczyć dostęp do interfejsu administracyjnego pfSense wyłącznie do zaufanych hostów i sieci zarządzania, stosując zasadę minimalnych uprawnień. Warto odnotować, że dostawca kwestionuje klasyfikację tego zachowania jako podatność.

Kogo dotyczy

Netgate pfSense CE w wersji 2.7.2

Uwagi

Dostawca (Netgate) oficjalnie kwestionuje tę podatność (disputes), argumentując że instalator modułów jest dostępny tylko dla administratorów, którym wykonywanie kodu PHP jest celowo i świadomie dozwolone w ramach projektu. Podatność została ujawniona na liście Full Disclosure w lutym 2026 roku. Wektor CVSS zakłada dostęp z wysokimi uprawnieniami (PR:H), co odzwierciedla wymagane uprawnienia administratora.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Pfsense

    APP
    Pfsense
    2.7.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2025-69691CRITICAL9.9PL ✓ten sam produkt

Netgate pfSense CE 2.8.0 — RCE przez XMLRPC API (pfsense.exec_php)

CVE-2023-29974CRITICAL9.8ten sam produkt

An issue discovered in Pfsense CE version 2.6.0 allows attackers to compromise user accounts via weak password...

CVE-2023-27100CRITICAL9.8ten sam produkt

Improper restriction of excessive authentication attempts in the SSHGuard component of Netgate pfSense Plus so...

CVE-2023-29975HIGH7.2ten sam produkt

An issue discovered in Pfsense CE version 2.6.0 allows attackers to change the password of any user without ve...

CVE-2020-19678HIGH7.5ten sam produkt

Directory Traversal vulnerability found in Pfsense v.2.1.3 and Pfsense Suricata v.1.4.6 pkg v.1.0.1 allows a r...