मुफ्त स्कैन करें
CRITICALCVE-2026-44193CVSS 9.1

CVE-2026-44193: RCE in OPNsense Firewall

प्लेटफ़ॉर्म

linux

घटक

opnsense

में ठीक किया गया

26.1.7

NVD पर देखें
सहेजें

CVE-2026-44193 एक गंभीर दूरस्थ कोड निष्पादन (RCE) भेद्यता है जो OPNsense फ़ायरवॉल को प्रभावित करती है। यह भेद्यता XMLRPC विधि opnsense.restoreconfigsection में उपयोगकर्ता द्वारा प्रदान किए गए इनपुट को ठीक से सैनिटाइज करने में विफलता के कारण उत्पन्न होती है। इसका मतलब है कि एक हमलावर अनधिकृत कोड निष्पादित कर सकता है। यह भेद्यता OPNsense संस्करण 26.1.0 से 26.1.7 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 26.1.7 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

इस RCE भेद्यता का शोषण करने वाला एक हमलावर फ़ायरवॉल पर मनमाना कोड निष्पादित कर सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, नेटवर्क ट्रैफ़िक को बाधित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि OPNsense फ़ायरवॉल अक्सर महत्वपूर्ण नेटवर्क बुनियादी ढांचे की रक्षा करते हैं, इसलिए इस भेद्यता का शोषण नेटवर्क के लिए गंभीर परिणाम उत्पन्न कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह दूरस्थ रूप से शोषण योग्य है, जिसका अर्थ है कि हमलावर को फ़ायरवॉल तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण के लिए XMLRPC इंटरफ़ेस का उपयोग किया जा सकता है, जो डिफ़ॉल्ट रूप से सक्षम हो सकता है।

शोषण संदर्भ

CVE-2026-44193 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन इसकी गंभीरता और दूरस्थ शोषण क्षमता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता अभी भी मूल्यांकन के अधीन है, और इसकी गंभीरता का मूल्यांकन किया जाना बाकी है। सार्वजनिक रूप से उपलब्ध शोषण कोड मौजूद नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका विकास संभव है। CISA और NVD ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकopnsense
विक्रेताopnsense
न्यूनतम संस्करण26.1.0
अधिकतम संस्करण< 26.1.7
में ठीक किया गया26.1.7

कमजोरी वर्गीकरण (CWE)

CWE-88

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CVE-2026-44193 को कम करने के लिए, OPNsense फ़ायरवॉल को तुरंत संस्करण 26.1.7 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपग्रेड संभव नहीं है, तो XMLRPC इंटरफ़ेस को अक्षम करने पर विचार करें, यदि इसका उपयोग नहीं किया जा रहा है। यदि XMLRPC की आवश्यकता है, तो फ़ायरवॉल के सामने एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करें जो दुर्भावनापूर्ण XMLRPC अनुरोधों को फ़िल्टर कर सके। WAF नियमों को इस भेद्यता के लिए विशिष्ट पैटर्न का पता लगाने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, फ़ायरवॉल लॉग की नियमित रूप से निगरानी करें ताकि शोषण के प्रयासों के संकेतों का पता लगाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, XMLRPC इंटरफ़ेस के माध्यम से कॉन्फ़िगरेशन अनुभाग को पुनर्स्थापित करने का प्रयास करके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice OPNsense a la versión 26.1.7 o posterior para mitigar la vulnerabilidad de ejecución remota de código (RCE) en el método opnsense.restore_config_section.  Esta actualización corrige la falta de sanitización de la entrada del usuario, previniendo la ejecución de código malicioso a través del endpoint XMLRPC.  Consulte la documentación oficial de OPNsense para obtener instrucciones detalladas sobre cómo actualizar su sistema.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44193 — RCE OPNsense में क्या है?

CVE-2026-44193 OPNsense फ़ायरवॉल में एक गंभीर दूरस्थ कोड निष्पादन (RCE) भेद्यता है जो हमलावरों को अनधिकृत कोड निष्पादित करने की अनुमति देती है। यह XMLRPC विधि में इनपुट सैनिटाइजेशन की कमी के कारण होता है।

क्या मैं CVE-2026-44193 से प्रभावित हूँ OPNsense में?

यदि आप OPNsense संस्करण 26.1.0 से 26.1.7 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। तुरंत संस्करण 26.1.7 में अपडेट करें।

मैं CVE-2026-44193 को OPNsense में कैसे ठीक करूँ?

CVE-2026-44193 को ठीक करने के लिए, OPNsense फ़ायरवॉल को संस्करण 26.1.7 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो XMLRPC इंटरफ़ेस को अक्षम करने पर विचार करें।

क्या CVE-2026-44193 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44193 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।

मैं CVE-2026-44193 के लिए आधिकारिक OPNsense सलाहकार कहाँ पा सकता हूँ?

आप OPNsense सलाहकार को यहां पा सकते हैं: [https://opnsense.org/security/](https://opnsense.org/security/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...