मुफ्त स्कैन करें
CRITICALCVE-2026-44194CVSS 9.1

CVE-2026-44194: RCE in OPNsense Core Firewall

प्लेटफ़ॉर्म

linux

घटक

opnsense

में ठीक किया गया

26.1.8

NVD पर देखें
सहेजें

OPNsense Core, एक FreeBSD-आधारित फ़ायरवॉल और रूटिंग प्लेटफ़ॉर्म में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता मौजूद है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को रूट विशेषाधिकारों के साथ सिस्टम कमांड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता OPNsense Core के संस्करण 26.1.0 से लेकर 26.1.8 तक के संस्करणों को प्रभावित करती है। 26.1.8 संस्करण में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह RCE भेद्यता एक हमलावर को सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन को बदल सकते हैं, या यहां तक ​​कि सिस्टम को पूरी तरह से नियंत्रित कर सकते हैं। हमलावर ईमेल पते के रूप में दुर्भावनापूर्ण पेलोड को प्रारूपित करके इनपुट सत्यापन को बायपास कर सकते हैं, जिससे शेल कमांड अंतर्निहित ऑपरेटिंग सिस्टम तक पहुंच सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह उपयोगकर्ता प्रबंधन विशेषाधिकार वाले किसी भी प्रमाणित उपयोगकर्ता को प्रभावित करती है, जिससे आंतरिक खतरे की संभावना बढ़ जाती है। इस भेद्यता का शोषण करने से नेटवर्क की सुरक्षा और अखंडता को गंभीर खतरा हो सकता है।

शोषण संदर्भ

यह CVE अभी तक KEV (Kernel Exploitability Tracking) पर सूचीबद्ध नहीं है, लेकिन इसकी क्रिटिकल CVSS स्कोर इंगित करता है कि इसका शोषण किया जा सकता है। EPSS (Exploit Prediction Score System) स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध POC (प्रूफ-ऑफ-कॉन्सेप्ट) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभव है कि जल्द ही POC सामने आ सकते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट4 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकopnsense
विक्रेताopnsense
न्यूनतम संस्करण26.1.0
अधिकतम संस्करण< 26.1.8
में ठीक किया गया26.1.8

कमजोरी वर्गीकरण (CWE)

CWE-78

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, OPNsense Core को तुरंत संस्करण 26.1.8 में अपडेट करना आवश्यक है। यदि अपग्रेड करने में समस्या आ रही है, तो पहले पिछले स्थिर संस्करण में रोलबैक करने पर विचार करें और फिर अपग्रेड प्रक्रिया को फिर से प्रयास करें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके इनपुट सत्यापन को मजबूत किया जा सकता है, लेकिन यह अपग्रेड का विकल्प नहीं है। इसके अतिरिक्त, उपयोगकर्ता प्रबंधन विशेषाधिकारों को सीमित करने और नियमित सुरक्षा ऑडिट करने से जोखिम को कम करने में मदद मिल सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम को फिर से कॉन्फ़िगर करें और जांचें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice OPNsense a la versión 26.1.8 o posterior para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización corrige la validación de entrada en el flujo de sincronización de usuarios locales, evitando la ejecución de comandos arbitrarios del sistema.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44194 — RCE OPNsense Core में क्या है?

CVE-2026-44194 OPNsense Core फ़ायरवॉल में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो प्रमाणित उपयोगकर्ताओं को रूट विशेषाधिकारों के साथ सिस्टम कमांड निष्पादित करने की अनुमति देती है।

क्या मैं CVE-2026-44194 से OPNsense Core में प्रभावित हूं?

यदि आप OPNsense Core के संस्करण 26.1.0 से 26.1.8 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-44194 को OPNsense Core में कैसे ठीक करूं?

OPNsense Core को संस्करण 26.1.8 में अपडेट करके इस भेद्यता को ठीक करें।

क्या CVE-2026-44194 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक POC अभी तक ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, यह संभव है कि इसका शोषण किया जा रहा हो।

मैं CVE-2026-44194 के लिए आधिकारिक OPNsense सलाहकार कहां पा सकता हूं?

आप OPNsense वेबसाइट पर CVE-2026-44194 के लिए आधिकारिक सलाहकार पा सकते हैं: [https://opnsense.org/advisories/](https://opnsense.org/advisories/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...