Katalog CVE

CVE-2025-69691

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Netgate pfSense CE w wersji 2.8.0 umożliwia wykonanie kodu poprzez API XMLRPC za pomocą pfsense.exec_php. Chociaż dostawca kwestionuje tę podatność, ponieważ wywołanie API jest dostępne tylko dla administratorów, którzy mają intencjonalne uprawnienia do wykonywania kodu PHP.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się ograniczenie dostępu do API XMLRPC tylko do zaufanych administratorów oraz monitorowanie i audytowanie wywołań pfsense.exec_php.

Oryginalny opis (angielski, źródło NVD)

Netgate pfSense CE 2.8.0 allows code execution in the XMLRPC API via pfsense.exec_php. NOTE: the Supplier disputes this because the API call is only available to admins and they are intentionally allowed to execute PHP code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS