Plataforma
freebsd
Componente
suricata
Corregido en
2.8.2
La vulnerabilidad CVE-2025-12490 es una ejecución remota de código (RCE) que afecta a las instalaciones de pfSense CE que utilizan el paquete Suricata. Esta falla se debe a la falta de validación adecuada de las rutas de archivo proporcionadas por el usuario, lo que permite a un atacante autenticado crear archivos arbitrarios en el sistema, potencialmente con privilegios de root. Las versiones afectadas incluyen pfSense 2.8.1 con el paquete Suricata 7.0.8_3 y versiones anteriores. La solución es actualizar a pfSense 2.8.2 o superior.
Un atacante autenticado puede explotar esta vulnerabilidad para crear archivos en cualquier ubicación del sistema de archivos con privilegios de root. Esto podría permitir la ejecución de código malicioso, la modificación de archivos de configuración críticos o el compromiso completo del sistema. El impacto es significativo, ya que la ejecución de código como root otorga al atacante control total sobre el dispositivo pfSense. La capacidad de crear archivos arbitrarios abre la puerta a la instalación de puertas traseras, la exfiltración de datos confidenciales y la interrupción de los servicios de red. Esta vulnerabilidad comparte similitudes con otras vulnerabilidades de recorrido de directorio que permiten la ejecución de código, lo que subraya la importancia de la validación de entrada robusta.
La vulnerabilidad CVE-2025-12490 fue reportada a Netgate a través del programa ZDI. No se ha confirmado la explotación activa en entornos del mundo real a la fecha de publicación. La probabilidad de explotación se considera moderada, dada la necesidad de autenticación para explotar la vulnerabilidad y la relativa complejidad del ataque. La vulnerabilidad ha sido agregada al catálogo KEV de CISA, lo que indica un riesgo significativo para las organizaciones que utilizan pfSense. La fecha de publicación es 2025-11-06.
Organizations running pfSense firewalls with Suricata enabled, particularly those using versions 7.0.8_3–pfSense 2.8.1, are at risk. Shared hosting environments where multiple users have access to Suricata configuration are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• freebsd / server:
journalctl -u suricata | grep -i "path traversal"• freebsd / server:
lsof | grep /usr/local/suricata/ -i 'root'• freebsd / server:
find / -name '*created_by_attacker*' -user rootdisclosure
patch
Estado del Exploit
EPSS
26.70% (96% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a pfSense 2.8.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos para limitar el acceso de escritura a las áreas sensibles del sistema de archivos. Revise y refuerce las políticas de permisos de usuario para garantizar que solo los usuarios autorizados tengan la capacidad de modificar archivos en el sistema. Además, considere la implementación de un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS) para monitorear la actividad sospechosa y bloquear intentos de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando la versión del paquete Suricata.
Actualice el paquete Suricata a la versión corregida proporcionada por Netgate para pfSense. Esto solucionará la vulnerabilidad de path traversal que permite la creación de archivos arbitrarios. Consulte el anuncio de seguridad de Netgate para obtener instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12490 is a Remote Code Execution vulnerability in Suricata installations within Netgate pfSense CE, allowing authenticated attackers to create arbitrary files as root.
You are affected if you are running pfSense versions 7.0.83–pfSense 2.8.1 and the Suricata package 7.0.83.
Upgrade to pfSense version 2.8.2 or later to resolve the vulnerability. Restrict access to Suricata configuration interfaces as a temporary workaround.
While public proof-of-concept code is not currently available, the vulnerability's nature suggests potential for exploitation.
Refer to the official Netgate pfSense security advisory for CVE-2025-12490 on the pfSense website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.