CVE-2026-45158: Command Injection en OPNsense Firewall
Plataforma
linux
Componente
opnsense
Corregido en
26.1.8
La vulnerabilidad CVE-2026-45158 afecta a OPNsense Firewall, una plataforma de firewall y enrutamiento basada en FreeBSD. Esta falla de inyección de comandos permite la ejecución remota de código como root en el sistema operativo subyacente, explotando la falta de sanitización de la entrada del usuario en la configuración DHCP. Las versiones afectadas son 26.1.0 hasta 26.1.7; la solución es actualizar a la versión 26.1.8.
Impacto y Escenarios de Ataque
Un atacante puede aprovechar esta vulnerabilidad para inyectar comandos arbitrarios en el sistema operativo subyacente de OPNsense Firewall. Esto podría resultar en la toma de control completa del dispositivo, permitiendo el acceso no autorizado a la red protegida por el firewall. El atacante podría instalar malware, robar datos confidenciales, o utilizar el firewall comprometido como punto de apoyo para ataques posteriores a otros sistemas en la red. La ejecución como root implica un acceso ilimitado al sistema, lo que amplía significativamente el radio de explosión de la vulnerabilidad. La falta de sanitización de la entrada del usuario en la configuración DHCP es el vector de ataque principal.
Contexto de Explotación
La vulnerabilidad CVE-2026-45158 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera alta debido a la facilidad de explotación y el impacto crítico. No se han reportado campañas activas de explotación a la fecha, pero la disponibilidad de la información sobre la vulnerabilidad aumenta el riesgo de explotación futura. Se recomienda monitorear los sistemas afectados para detectar signos de actividad maliciosa.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
Mitigación y Workarounds
La mitigación principal para CVE-2026-45158 es actualizar OPNsense Firewall a la versión 26.1.8 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización a la versión 26.1.8 causa problemas de compatibilidad, considere realizar una reversión a una versión anterior estable que no esté afectada. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) o un proxy inverso para filtrar el tráfico malicioso y bloquear intentos de inyección de comandos. Revise y endurezca la configuración DHCP para limitar los privilegios de los scripts que procesan la entrada del usuario.
Cómo corregirlotraduciendo…
Actualice su instalación de OPNsense a la versión 26.1.8 o posterior para mitigar esta vulnerabilidad. La actualización corrige la falta de sanitización de la entrada del usuario en la configuración DHCP, previniendo la ejecución remota de código.
Preguntas frecuentes
¿Qué es CVE-2026-45158 — Inyección de comandos en OPNsense Firewall?
CVE-2026-45158 es una vulnerabilidad de inyección de comandos en OPNsense Firewall que permite la ejecución remota de código como root. Afecta a las versiones 26.1.0 hasta 26.1.7 y tiene una severidad crítica.
¿Estoy afectado por CVE-2026-45158 en OPNsense Firewall?
Si está utilizando OPNsense Firewall en las versiones 26.1.0 hasta 26.1.7, sí, está afectado por esta vulnerabilidad. Verifique su versión y actualice inmediatamente.
¿Cómo puedo solucionar CVE-2026-45158 en OPNsense Firewall?
La solución es actualizar OPNsense Firewall a la versión 26.1.8 o superior. Si la actualización causa problemas, considere una reversión a una versión anterior segura.
¿Se está explotando activamente CVE-2026-45158?
Aunque no se han reportado campañas activas de explotación a la fecha, la vulnerabilidad es crítica y la probabilidad de explotación es alta. Monitoree sus sistemas.
¿Dónde puedo encontrar el aviso oficial de OPNsense para CVE-2026-45158?
Consulte el sitio web oficial de OPNsense para obtener información y avisos de seguridad: https://www.opnsense.org/security/
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...