Kostenlos scannen

Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-44195CVSS 5.3

OPNsense: Authentifizierungs-Lockout-Umgehung

Plattform

linux

Komponente

opnsense

Behoben in

26.1.7

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

OPNsense ist eine FreeBSD-basierte Firewall- und Routing-Plattform. Vor 26.1.7 ermöglicht ein Logikfehler im OPNsense-Lockout-Handler einem nicht authentifizierten Angreifer, den Authentifizierungsfehlerzähler für seine IP-Adresse kontinuierlich zurückzusetzen. Durch das Einfügen eines erstellten Benutzernamens, der ein Erfolgs-Schlüsselwort ("Akzeptiert" oder "Erfolgreicher Login") zwischen normalen Brute-Force-Versuchen enthält, kann ein Angreifer verhindern, dass der Fehlerzähler jemals den Lockout-Schwellenwert erreicht. Diese Schwachstelle wird in 26.1.7 behoben.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteopnsense
Herstelleropnsense
Mindestversion26.1.0
Höchstversion< 26.1.7
Behoben in26.1.7

Schwachstellen-Klassifikation (CWE)

CWE-307

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

So behebenwird übersetzt…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar esta vulnerabilidad. La actualización corrige una falla lógica en el controlador de bloqueo de autenticación que permite a un atacante eludir el bloqueo de cuentas.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...