CVE-2025-53392

Nome do Software Vulnerável e Versões Afetadas: Netgate pfSense CE versão 2.8.0

Descrição: A questão surge do privilégio "WebCfg - Diagnostics: Command", que inadequadamente permite aos usuários ler arquivos arbitrários no sistema por meio de um ataque de traversal de diretório direcionado ao dlPath do diag command.php. Este comportamento é considerado intencional pelo fornecedor para este nível de privilégio, com os administradores do sistema sendo informados através da documentação do produto e da interface do usuário.

Recomendações: Para o Netgate pfSense CE versão 2.8.0, os usuários devem atualizar para uma versão mais recente assim que as correções forem lançadas pela Netgate. Alternativamente, devem aplicar as soluções alternativas recomendadas, restringindo o acesso aos comandos de diagnóstico até que uma correção oficial esteja disponível. Como solução alternativa temporária, considere desativar a funcionalidade diag command.php ou restringir o acesso ao diretório dlPath para minimizar o risco de exploração.