Scanner gratuitement

Cette page n'a pas encore été traduite dans votre langue. Affichage du contenu en anglais pendant que nous y travaillons.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-44195CVSS 5.3

OPNsense: Contournement du verrouillage d'authentification

Plateforme

linux

Composant

opnsense

Corrigé dans

26.1.7

Voir sur NVD
Sauvegarder
Traduction vers votre langue…

OPNsense est une plateforme de pare-feu et de routage basée sur FreeBSD. Avant la version 26.1.7, un défaut de logique dans le OPNsense lockout_handler permet à un attaquant non authentifié de réinitialiser continuellement le compteur d'échecs d'authentification pour son adresse IP. En insérant un nom d'utilisateur créé contenant un mot-clé de succès (« Accepted » ou « Successful login ») entre les tentatives de force brute normales, un attaquant peut empêcher le compteur d'échecs d'atteindre le seuil de verrouillage. Cette vulnérabilité est corrigée dans 26.1.7.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantopnsense
Fournisseuropnsense
Version minimale26.1.0
Version maximale< 26.1.7
Corrigé dans26.1.7

Classification de Faiblesse (CWE)

CWE-307

Chronologie

  1. Réservé
  2. Publiée

Comment corrigertraduction en cours…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar esta vulnerabilidad. La actualización corrige una falla lógica en el controlador de bloqueo de autenticación que permite a un atacante eludir el bloqueo de cuentas.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...