CVE-2025-69690
KrytyczneStreszczenie
Netgate pfSense CE w wersji 2.7.2 umożliwia wykonanie kodu poprzez użycie instalatora modułów z plikiem kopii zapasowej zawierającym zserializowany obiekt PHP z właściwością post_reboot_commands.
Ocena ryzyka
Wykonanie nieautoryzowanego kodu może prowadzić do poważnych naruszeń bezpieczeństwa w systemie, szczególnie jeśli dostęp do instalatora mają tylko administratorzy.
Rekomendacja
Zaleca się ograniczenie dostępu do instalatora modułów oraz monitorowanie działań administratorów w celu zapobiegania nieautoryzowanemu wykonaniu kodu.
Oryginalny opis (angielski, źródło NVD)
Netgate pfSense CE 2.7.2 allows code execution by using the module installer with a backup file with a serialized PHP object containing the post_reboot_commands property. NOTE: the Supplier disputes this because this installer is only available to admins and they are intentionally allowed to execute PHP code.

