मुफ्त स्कैन करें
MEDIUMCVE-2026-44195CVSS 5.3

CVE-2026-44195: लॉजिक त्रुटि OPNsense फ़ायरवॉल में

प्लेटफ़ॉर्म

linux

घटक

opnsense

में ठीक किया गया

26.1.7

NVD पर देखें
सहेजें

OPNsense फ़ायरवॉल में एक लॉजिक त्रुटि पाई गई है, जो हमलावरों को प्रमाणीकरण विफलता काउंटर को लगातार रीसेट करने की अनुमति देती है। यह हमलावर को ब्रूट-फोर्स हमलों को रोकने और सिस्टम में अनधिकृत पहुंच प्राप्त करने में सक्षम बनाता है। यह भेद्यता OPNsense संस्करण 26.1.0 से 26.1.6 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 26.1.7 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

इस भेद्यता का फायदा उठाकर, एक हमलावर लगातार गलत उपयोगकर्ता नाम डालकर प्रमाणीकरण विफलता काउंटर को रीसेट कर सकता है। उपयोगकर्ता नाम में 'Accepted' या 'Successful login' जैसे कीवर्ड डालने से, हमलावर यह सुनिश्चित कर सकता है कि काउंटर कभी भी लॉकआउट सीमा तक न पहुंचे। इससे हमलावर को ब्रूट-फोर्स हमलों के माध्यम से सिस्टम में प्रवेश करने की अधिक संभावना हो जाती है, जिससे संवेदनशील डेटा तक पहुंच प्राप्त हो सकती है, नेटवर्क कॉन्फ़िगरेशन में बदलाव किया जा सकता है, या अन्य दुर्भावनापूर्ण गतिविधियां की जा सकती हैं। यह भेद्यता विशेष रूप से उन संगठनों के लिए चिंताजनक है जो OPNsense फ़ायरवॉल का उपयोग अपने नेटवर्क की सुरक्षा के लिए करते हैं।

शोषण संदर्भ

यह CVE अभी तक KEV (Know Exploited Vulnerabilities) में सूचीबद्ध नहीं है, लेकिन इसकी CVSS स्कोर 5.3 (MEDIUM) है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध POC (Proof of Concept) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता का विवरण इंगित करता है कि इसका फायदा उठाना संभव है। NVD और CISA ने इस भेद्यता के लिए कोई विशिष्ट सलाह जारी नहीं की है, लेकिन OPNsense ने अपने आधिकारिक सलाहकार में इस मुद्दे को संबोधित किया है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकopnsense
विक्रेताopnsense
न्यूनतम संस्करण26.1.0
अधिकतम संस्करण< 26.1.7
में ठीक किया गया26.1.7

कमजोरी वर्गीकरण (CWE)

CWE-307

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, OPNsense फ़ायरवॉल को संस्करण 26.1.7 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप फ़ायरवॉल पर सख्त प्रमाणीकरण नीतियां लागू कर सकते हैं, जैसे कि मजबूत पासवर्ड की आवश्यकता और मल्टी-फैक्टर ऑथेंटिकेशन का उपयोग। इसके अतिरिक्त, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कर सकते हैं जो असामान्य प्रमाणीकरण प्रयासों का पता लगाता है और उन्हें ब्लॉक करता है। आप लॉग की निगरानी करके भी असामान्य गतिविधि का पता लगा सकते हैं, जैसे कि लगातार विफल प्रमाणीकरण प्रयास। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्रमाणीकरण लॉग की जांच करें और ब्रूट-फोर्स प्रयासों के संकेतों की तलाश करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar la vulnerabilidad de bypass de bloqueo de autenticación. Esta actualización corrige la lógica defectuosa en el controlador de bloqueo que permite a los atacantes evitar el bloqueo de cuentas.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44195 — लॉजिक त्रुटि OPNsense फ़ायरवॉल में क्या है?

CVE-2026-44195 एक लॉजिक त्रुटि है जो हमलावरों को प्रमाणीकरण विफलता काउंटर को रीसेट करने की अनुमति देती है, जिससे ब्रूट-फोर्स हमलों को रोका जा सकता है।

क्या मैं CVE-2026-44195 में OPNsense फ़ायरवॉल से प्रभावित हूँ?

यदि आप OPNsense फ़ायरवॉल के संस्करण 26.1.0 से 26.1.6 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

CVE-2026-44195 में OPNsense फ़ायरवॉल को कैसे ठीक करें?

OPNsense फ़ायरवॉल को संस्करण 26.1.7 या बाद के संस्करण में तुरंत अपडेट करें।

क्या CVE-2026-44195 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध POC ज्ञात नहीं हैं, लेकिन भेद्यता का विवरण इंगित करता है कि इसका फायदा उठाना संभव है।

CVE-2026-44195 के लिए आधिकारिक OPNsense सलाहकार कहाँ मिल सकता है?

आप OPNsense की वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [OPNsense advisory link - replace with actual link]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...