Een kritiek beveiligingslek in FreeBSD maakt remote code execution mogelijk, waarbij een aanvaller in hetzelfde netwerksegment moet zitten als het doelwit. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2025-14558) doet zich voor bij het verwerken van router advertisement (RA) packets die onderdeel zijn van het IPv6 stateless address autoconfiguration (SLAAC) mechanisme.

SLAAC zorgt ervoor dat clients op het netwerk hun eigen ip-adres en gateway kunnen instellen, zonder dat hiervoor een DHCP-server is vereist. Wanneer een client online komt stuurt die een Router Solicitation bericht. Een router in het netwerk zal vervolgens met een RA-bericht antwoorden. Dit bericht bevat onder andere informatie over de te gebruiken gateway en dns-servers.

Twee programma's binnen FreeBSD zijn verantwoordelijk voor het verwerken van de RA-packets. Deze programma's blijken de inhoud van de RA-berichten niet goed te valideren. De programma's geven de inhoud onaangepast door aan een shell-script binnen FreeBSD. Een aanvaller kan hier misbruik van maken door een RA-bericht te versturen met daarin een shell-commando dat vervolgens onaangepast door het shell-script op het FreeBSD-systeem van het doelwit wordt uitgevoerd.

Om een dergelijk RA-bericht te kunnen versturen moeten de aanvaller en het slachtoffer wel op hetzelfde netwerksegment zitten. Securitybedrijf Tenable heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gebruikers die geen IPv6 gebruiken en IPv6-gebruikers van wie het FreeBSD-systeem geen RA-berichten accepteert lopen geen risico om te worden aangevallen. Alle FreeBSD-gebruikers worden echter opgeroepen om de beveiligingsupdate te installeren.