Plateforme
freebsd
Composant
suricata
Corrigé dans
2.8.2
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans le package Suricata intégré à pfSense CE. Cette faille permet à un attaquant authentifié de créer des fichiers arbitraires sur le système, potentiellement avec les privilèges root. Les versions affectées incluent Suricata 7.0.8_3 et pfSense 2.8.1. Une mise à jour vers la version 2.8.2 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié de contourner les contrôles d'accès et d'exécuter du code malveillant sur le système pfSense. Cela peut conduire à la compromission complète du pare-feu, permettant à l'attaquant de voler des données sensibles, de modifier la configuration du réseau, ou d'utiliser le pare-feu comme point de pivot pour attaquer d'autres systèmes internes. La capacité d'exécuter du code en tant que root amplifie considérablement le potentiel d'impact, rendant la correction de cette vulnérabilité critique. Cette faille est similaire à d'autres vulnérabilités de traversal de chemin qui permettent à des attaquants de manipuler les chemins d'accès aux fichiers pour exécuter des commandes arbitraires.
Cette vulnérabilité a été signalée par Zero Day Initiative (ZDI-CAN-28085). La probabilité d'exploitation est considérée comme moyenne, compte tenu de l'exigence d'authentification. Il n'y a pas d'indicateurs publics d'exploitation active à ce jour. La vulnérabilité a été publiée le 6 novembre 2025. Elle n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations running pfSense firewalls with Suricata enabled, particularly those using versions 7.0.8_3–pfSense 2.8.1, are at risk. Shared hosting environments where multiple users have access to Suricata configuration are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• freebsd / server:
journalctl -u suricata | grep -i "path traversal"• freebsd / server:
lsof | grep /usr/local/suricata/ -i 'root'• freebsd / server:
find / -name '*created_by_attacker*' -user rootdisclosure
patch
Statut de l'Exploit
EPSS
26.70% (percentile 96%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour pfSense vers la version 2.8.2 ou supérieure, qui inclut la correction de cette vulnérabilité. Si la mise à jour est problématique, envisagez de revenir à une version antérieure stable de pfSense avant l'introduction de la vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs ayant accès à la configuration de Suricata et en surveillant attentivement les journaux système pour détecter toute activité suspecte. Bien qu'il n'existe pas de règles WAF spécifiques pour cette vulnérabilité, une surveillance accrue des tentatives de manipulation de chemin d'accès peut aider à détecter les attaques potentielles. Après la mise à jour, vérifiez l'intégrité du système en effectuant un test de pénétration ou en examinant les journaux pour détecter toute activité anormale.
Actualice el paquete Suricata a la versión corregida proporcionada por Netgate para pfSense. Esto solucionará la vulnerabilidad de path traversal que permite la creación de archivos arbitrarios. Consulte el anuncio de seguridad de Netgate para obtener instrucciones específicas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-12490 is a Remote Code Execution vulnerability in Suricata installations within Netgate pfSense CE, allowing authenticated attackers to create arbitrary files as root.
You are affected if you are running pfSense versions 7.0.83–pfSense 2.8.1 and the Suricata package 7.0.83.
Upgrade to pfSense version 2.8.2 or later to resolve the vulnerability. Restrict access to Suricata configuration interfaces as a temporary workaround.
While public proof-of-concept code is not currently available, the vulnerability's nature suggests potential for exploitation.
Refer to the official Netgate pfSense security advisory for CVE-2025-12490 on the pfSense website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.