Platform
freebsd
Component
suricata
Opgelost in
2.8.2
CVE-2025-12490 is een Remote Code Execution (RCE) kwetsbaarheid in Suricata, een netwerkdetectie- en preventiesysteem, geïntegreerd in Netgate pfSense CE. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige bestanden aan te maken op het systeem, met root-rechten. De kwetsbaarheid treft versies 7.0.8_3 van Suricata en pfSense 2.8.1. Een upgrade naar pfSense 2.8.2 verhelpt dit probleem.
Een succesvolle exploitatie van CVE-2025-12490 kan leiden tot volledige controle over het getroffen pfSense-systeem. De aanvaller kan willekeurige code uitvoeren met root-rechten, waardoor gevoelige gegevens kunnen worden gestolen, het systeem kan worden gebruikt voor verdere aanvallen op andere systemen in het netwerk (laterale beweging), of het systeem kan volledig worden gecompromitteerd. De impact is aanzienlijk, aangezien pfSense vaak wordt gebruikt als firewall en router, waardoor de aanvaller toegang kan krijgen tot het gehele interne netwerk. Dit is vergelijkbaar met scenario's waarbij een aanvaller via een gecompromitteerde firewall toegang krijgt tot kritieke systemen.
Deze kwetsbaarheid is openbaar bekend en beschreven in de Netgate pfSense security advisory. Er is geen informatie over actieve exploitatiecampagnes bekend op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn publieke proof-of-concept exploits beschikbaar, wat het risico verhoogt.
Organizations running pfSense firewalls with Suricata enabled, particularly those using versions 7.0.8_3–pfSense 2.8.1, are at risk. Shared hosting environments where multiple users have access to Suricata configuration are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• freebsd / server:
journalctl -u suricata | grep -i "path traversal"• freebsd / server:
lsof | grep /usr/local/suricata/ -i 'root'• freebsd / server:
find / -name '*created_by_attacker*' -user rootdisclosure
patch
Exploit Status
EPSS
26.70% (96% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van pfSense naar versie 2.8.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de Suricata-module. Als dit niet mogelijk is, beperk dan de toegang tot de Suricata-configuratiepagina's via een firewallregel. Monitor de systeemlogboeken op verdachte activiteiten, zoals pogingen om bestanden in ongebruikelijke locaties aan te maken. Er zijn geen specifieke WAF-regels of Sigma/YARA patronen bekend voor deze specifieke kwetsbaarheid, maar algemene regels voor pad traversal kunnen helpen bij het detecteren van pogingen tot exploitatie.
Actualice el paquete Suricata a la versión corregida proporcionada por Netgate para pfSense. Esto solucionará la vulnerabilidad de path traversal que permite la creación de archivos arbitrarios. Consulte el anuncio de seguridad de Netgate para obtener instrucciones específicas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-12490 is a Remote Code Execution vulnerability in Suricata installations within Netgate pfSense CE, allowing authenticated attackers to create arbitrary files as root.
You are affected if you are running pfSense versions 7.0.83–pfSense 2.8.1 and the Suricata package 7.0.83.
Upgrade to pfSense version 2.8.2 or later to resolve the vulnerability. Restrict access to Suricata configuration interfaces as a temporary workaround.
While public proof-of-concept code is not currently available, the vulnerability's nature suggests potential for exploitation.
Refer to the official Netgate pfSense security advisory for CVE-2025-12490 on the pfSense website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.