Een ernstig beveiligingsprobleem in FreeBSD maakt het mogelijk om op afstand code uit te voeren. De aanvaller moet zich in hetzelfde netwerksegment bevinden als het doelwit. Er zijn updates uitgebracht om dit probleem op te lossen. De kwetsbaarheid, aangeduid als CVE-2025-14558, treedt op bij de verwerking van router advertisement (RA) pakketten binnen het IPv6 stateless address autoconfiguration (SLAAC) mechanisme. SLAAC stelt netwerkclients in staat hun eigen IP-adres en gateway te configureren zonder een DHCP-server. Wanneer een client verbinding maakt, stuurt deze een Router Solicitation bericht. Een router reageert met een RA-bericht dat informatie bevat over de gateway en DNS-servers.

Twee programma's in FreeBSD verwerken deze RA-pakketten, maar valideren de inhoud niet goed. Ze geven de gegevens direct door aan een shell-script binnen FreeBSD. Een aanvaller kan hiervan profiteren door een RA-bericht te sturen met een shell-commando dat vervolgens zonder aanpassing op het doelwitsysteem wordt uitgevoerd. De aanvaller en het slachtoffer moeten zich op hetzelfde netwerksegment bevinden om zo'n RA-bericht te versturen. Securitybedrijf Tenable heeft de kwetsbaarheid beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Gebruikers die geen IPv6 gebruiken of waarvan het systeem geen RA-berichten accepteert, lopen geen risico. Toch worden alle FreeBSD-gebruikers aangeraden de beveiligingsupdate te installeren.