Escanear gratis
MEDIUMCVE-2026-44195CVSS 5.3

CVE-2026-44195: Lockout Bypass in OPNsense Firewall

Plataforma

linux

Componente

opnsense

Corregido en

26.1.7

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-44195 es una falla lógica en el manejador de bloqueo de cuentas (lockout_handler) de OPNsense Firewall. Esta falla permite a un atacante no autenticado resetear continuamente el contador de fallos de autenticación para su dirección IP, eludiendo el mecanismo de bloqueo de cuentas. La vulnerabilidad afecta a las versiones 26.1.0 hasta la 26.1.6 y ha sido solucionada en la versión 26.1.7.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad puede realizar ataques de fuerza bruta contra las cuentas de usuario de OPNsense sin ser bloqueado. Esto facilita la obtención de credenciales válidas, lo que podría permitir el acceso no autorizado al sistema y la manipulación de la configuración del firewall. La capacidad de eludir el bloqueo de cuentas reduce significativamente la efectividad de las medidas de seguridad diseñadas para proteger contra ataques de fuerza bruta. La vulnerabilidad se aprovecha mediante la inyección de un nombre de usuario con una palabra clave de éxito ("Accepted" o "Successful login") entre los intentos normales de fuerza bruta.

Contexto de Explotación

La vulnerabilidad CVE-2026-44195 ha sido publicada recientemente (2026-05-13) y su probabilidad de explotación es considerada media. No se han reportado campañas de explotación activas en este momento, pero la facilidad de explotación podría llevar a su uso en ataques de fuerza bruta. Se recomienda monitorear activamente los sistemas OPNsense para detectar cualquier actividad sospechosa.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityLowRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Bajo — acceso parcial o indirecto a algunos datos.
Integrity
Ninguno — sin impacto en integridad.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componenteopnsense
Proveedoropnsense
Versión mínima26.1.0
Versión máxima< 26.1.7
Corregido en26.1.7

Clasificación de Debilidad (CWE)

CWE-307

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2026-44195 es actualizar OPNsense Firewall a la versión 26.1.7 o superior. Como medida temporal, se puede implementar un sistema de detección de intrusos (IDS) para monitorear los intentos de fuerza bruta y bloquear las direcciones IP sospechosas. Además, se recomienda implementar políticas de contraseñas robustas y habilitar la autenticación de dos factores (2FA) para aumentar la seguridad de las cuentas de usuario. Después de la actualización, revise los registros de autenticación para detectar cualquier actividad sospechosa.

Cómo corregirlotraduciendo…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar esta vulnerabilidad. La actualización corrige una falla lógica en el controlador de bloqueo de autenticación que permite a un atacante eludir el bloqueo de cuentas.

Preguntas frecuentes

What is CVE-2026-44195 — Lockout Bypass in OPNsense Firewall?

CVE-2026-44195 es una vulnerabilidad que permite a un atacante eludir el bloqueo de cuentas en OPNsense Firewall mediante la manipulación del contador de fallos de autenticación.

Am I affected by CVE-2026-44195 in OPNsense Firewall?

Si está utilizando OPNsense Firewall en las versiones 26.1.0 hasta la 26.1.6, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2026-44195 in OPNsense Firewall?

Actualice OPNsense Firewall a la versión 26.1.7 o superior para solucionar esta vulnerabilidad.

Is CVE-2026-44195 being actively exploited?

Aunque no se han reportado campañas de explotación activas, la vulnerabilidad podría ser explotada en ataques de fuerza bruta.

Where can I find the official OPNsense advisory for CVE-2026-44195?

Consulte el sitio web oficial de OPNsense para obtener la información más reciente sobre esta vulnerabilidad: [https://opnsense.org/](https://opnsense.org/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...