無料スキャン
MEDIUMCVE-2026-44195CVSS 5.3

CVE-2026-44195: Lockout Bypass in OPNsense Firewall

プラットフォーム

linux

コンポーネント

opnsense

修正版

26.1.7

NVDで見る
保存

OPNsense ファイアウォールにおいて、認証ロックアウト処理の論理的な欠陥が発見されました。この脆弱性により、認証されていない攻撃者は、自身のIPアドレスに対する認証失敗カウンタを継続的にリセットすることが可能になります。バージョン26.1.0から26.1.6までのOPNsense環境が影響を受けます。26.1.7へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証ロックアウト機能を回避し、ブルートフォース攻撃を継続的に行うことが可能になります。これにより、不正なログイン試行が繰り返され、システムへの侵入リスクが高まります。認証情報を推測され、システムが侵害された場合、機密情報の漏洩、設定の変更、さらにはシステム全体の制御権を奪われる可能性があります。特に、強力なパスワードポリシーが設定されていない環境では、攻撃が成功する可能性が高まります。

悪用の状況

本脆弱性は、認証ロックアウト回避を目的とした攻撃に悪用される可能性があります。現時点では、公開されているPoCは確認されていませんが、認証情報を不正に入手しようとする攻撃者にとって魅力的な標的となる可能性があります。CISAおよびNVDの公開日は2026年5月13日です。KEVへの登録状況やEPSSスコアは、現時点では評価待ちです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CISA SSVC

悪用状況poc
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントopnsense
ベンダーopnsense
最小バージョン26.1.0
最大バージョン< 26.1.7
修正版26.1.7

弱点分類 (CWE)

CWE-307

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日

緩和策と回避策

この脆弱性への対応として、まずOPNsense ファイアウォールをバージョン26.1.7にアップデートすることを強く推奨します。アップデートが困難な場合、一時的な緩和策として、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)を導入し、異常なログイン試行を検知・ブロックするルールを設定することを検討してください。また、認証失敗時のロックアウト期間を短縮する設定や、IPアドレスごとの認証試行回数を制限する設定も有効です。アップデート後、ログイン試行のログを監視し、異常なパターンがないか確認してください。

修正方法翻訳中…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar la vulnerabilidad de bypass de bloqueo de autenticación. Esta actualización corrige la lógica defectuosa en el controlador de bloqueo que permite a los atacantes evitar el bloqueo de cuentas.

よくある質問

CVE-2026-44195 — ロックアウト回避脆弱性とは、OPNsense ファイアウォールで何ですか?

CVE-2026-44195は、OPNsense ファイアウォールにおける認証ロックアウト機能を回避できる脆弱性です。攻撃者は特定のキーワードを含むユーザー名で認証失敗カウンタをリセットし、ブルートフォース攻撃を継続的に行うことが可能になります。

CVE-2026-44195 in OPNsense ファイアウォールで影響を受けますか?

OPNsense ファイアウォールをバージョン26.1.0から26.1.6で運用している場合は、影響を受ける可能性があります。バージョン26.1.7にアップデートすることで、この脆弱性を解消できます。

CVE-2026-44195 in OPNsense ファイアウォールを修正するにはどうすればよいですか?

OPNsense ファイアウォールをバージョン26.1.7にアップデートしてください。アップデートが困難な場合は、WAFやIPSを導入し、異常なログイン試行を検知・ブロックするルールを設定することを検討してください。

CVE-2026-44195は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、認証情報を不正に入手しようとする攻撃者にとって魅力的な標的となる可能性があります。常に最新のセキュリティ情報を確認し、対策を講じることを推奨します。

CVE-2026-44195に関するOPNsense ファイアウォールの公式アドバイザリはどこで入手できますか?

OPNsense ファイアウォールの公式アドバイザリは、OPNsenseのセキュリティアドバイザリページで確認できます。https://opnsense.org/security/ (公開後)

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
稼働中無料スキャン

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...