FreeBSD işletim sisteminde, IPv6 durumsuz adres otomatik yapılandırma (SLAAC) mekanizmasının önemli bir parçası olan rtsold(8) ve rtsol(8) programlarında ciddi bir uzaktan kod çalıştırma (RCE) zafiyeti keşfedildi. Bu programlar, ağdaki yönlendiricilerden gelen reklam mesajlarında yer alan alan adı arama listesi (domain search list) seçeneklerini yeterince doğrulamıyor. Doğrulanmamış bu veriler, herhangi bir kontrol veya sanitasyon olmaksızın doğrudan resolvconf(8) yardımcı programına iletiliyor.
Güvenlik açığının ikinci ayağı, bir shell betiği olarak çalışan resolvconf(8)'in de kendisine gelen girdileri doğrulamaması ve komutları çalıştırırken uygun tırnak işaretlemesini kullanmamasıdır. Bu kritik eksiklikler bir araya geldiğinde, kötü niyetli bir saldırgan, özel olarak hazırlanmış yönlendirici reklam mesajları aracılığıyla hedef FreeBSD sisteminde rastgele shell komutlarını uzaktan çalıştırabilir. Bu durum, hassas verilere erişim, sistem kontrolünü ele geçirme veya hizmet reddi gibi ciddi sonuçlara yol açabilir.
CVE-2025-14558 olarak listelenen bu zafiyet, FreeBSD'nin tüm desteklenen sürümlerini etkilemektedir. Saldırı, yönlendirici reklam mesajlarının yönlendirilemez olması nedeniyle aynı yerel ağ segmentindeki sistemlerle sınırlıdır ve ağ sınırlarını aşmaz. Kullanıcıların, sistemlerini freebsd-update aracıyla veya kaynak kodu yamalarını uygulayarak en kısa sürede düzeltilmiş sürümlere güncellemeleri büyük önem taşımaktadır. IPv6 kullanmayan veya sistemlerini yönlendirici reklam mesajlarını kabul etmeyecek şekilde yapılandıran kullanıcılar bu güvenlik açığından etkilenmemektedir.
FreeBSD sistemlerinde yerel ağ üzerinden uzaktan kod çalıştırılmasına olanak tanıyan bu zafiyet, ağ güvenliği için ciddi bir risk oluşturuyor.