Multiple Netgate pfSense Vulnerabilities Allow Remote Code Execution

CERT-FR Security Advisories

Published April 2nd, 2026

Detected April 2nd, 2026

Summary

CERT-FR issued advisory CERTFR-2026-AVI-0387 alerting to multiple critical vulnerabilities (CVE-2026-xxxx through CVE-2026-xxxx) in Netgate pfSense CE and Plus firewall products. Four separate security advisories (pfSense-SA-26_01 through pfSense-SA-26_04) document arbitrary remote code execution and cross-site scripting (XSS) vulnerabilities affecting pfSense CE versions prior to 2.8.1 and pfSense Plus versions prior to 26.07. The vulnerabilities enable unauthenticated remote attackers to execute arbitrary code or inject malicious scripts.

View original document View source feed page

What changed

CERT-FR published security advisory CERTFR-2026-AVI-0387 documenting four critical vulnerabilities in Netgate pfSense products. The vulnerabilities include arbitrary remote code execution (RCE) and reflected/stored cross-site scripting (XSS). Affected versions include pfSense CE 2.8.1 and earlier, and pfSense Plus prior to version 26.07. The source is Netgate security bulletins pfSense-SA-2601 through pfSense-SA-2604 dated April 1, 2026.

Organizations running pfSense installations must immediately identify their current version and apply vendor-provided security patches. Administrators should refer to the Netgate security bulletins at docs.netgate.com for patch availability and installation instructions. Given the RCE severity, organizations with internet-facing pfSense instances should prioritize patching. No specific compliance deadlines are stated; however, patching should be treated as urgent given the critical nature of remote code execution vulnerabilities.

What to do next

Identify all pfSense CE and Plus installations and their current versions
Apply vendor security patches from Netgate bulletins pfSense-SA-26_01 through pfSense-SA-26_04
Verify internet-facing pfSense instances are not exposed without remediation

Source document (simplified)

Premier Ministre S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 avril 2026 N° CERTFR-2026-AVI-0387 Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Netgate

Gestion du document

| Référence | CERTFR-2026-AVI-0387 |
| Titre | Multiples vulnérabilités dans les produits Netgate |
| Date de la première version | 02 avril 2026 |
| Date de la dernière version | 02 avril 2026 |
| Source(s) | Bulletin de sécurité Netgate pfSense-SA-2601 du 01 avril 2026
Bulletin de sécurité Netgate pfSense-SA-2602 du 01 avril 2026
Bulletin de sécurité Netgate pfSense-SA-2603 du 01 avril 2026
Bulletin de sécurité Netgate pfSense-SA-2604 du 01 avril 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)

Systèmes affectés

pfSense CE version 2.8.1 sans les derniers correctifs de sécurité
pfSense CE versions antérieures à 2.8.1
pfSense Plus versions antérieures à 26.07

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Netgate. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une injection de code indirecte à distance (XSS).