Platform
linux
Component
opnsense
Opgelost in
26.1.7
In OPNsense Firewall versies 26.0.0 tot en met 26.1.5 is een kwetsbaarheid ontdekt waarbij de login username direct in een LDAP search filter wordt doorgegeven zonder ldap_escape() aan te roepen. Dit maakt LDAP injectie mogelijk, waardoor een ongeauthenticeerde aanvaller gebruikersnamen kan op sommen of authenticatie kan omzeilen. De kwetsbaarheid is verholpen in versie 26.1.6.
CVE-2026-34578 in OPNsense stelt een niet-geauthenticeerde aanvaller in staat om geldige LDAP-gebruikersnamen op te sommen. Voor versie 26.1.6 gaf de OPNsense LDAP-authenticatieconnector de ingevoerde gebruikersnaam direct door aan een LDAP-zoekfilter zonder de functie ldap_escape() aan te roepen. Dit maakt het mogelijk om LDAP-filtermeta-tekens in het veld 'gebruikersnaam' van de WebGUI-aanmeldpagina te injecteren. Als de LDAP-serverconfiguratie een uitgebreide query bevat om de aanmelding te beperken tot leden van een specifieke groep, wordt de impact vergroot, aangezien de aanvaller mogelijk gebruikers kan identificeren die tot die groep behoren, wat gerichte aanvallen verder vergemakkelijkt. De ernst van de kwetsbaarheid wordt beoordeeld als 8.2 volgens CVSS.
Een aanvaller kan deze kwetsbaarheid uitbuiten door LDAP-speciale tekens in het veld 'gebruikersnaam' van de WebGUI-aanmeldpagina van OPNsense te injecteren. Deze speciale tekens kunnen de LDAP-zoekfilter manipuleren om informatie over LDAP-gebruikers die in de directory zijn geregistreerd, te onthullen. Het succes van de exploitatie hangt af van de configuratie van de LDAP-server en de aanwezigheid van uitgebreide queries. Het ontbreken van ldap_escape() is de belangrijkste oorzaak van de kwetsbaarheid, waardoor filtermanipulatie mogelijk is.
Organizations relying on OPNsense Firewall for network security, particularly those using LDAP authentication for user management, are at risk. This includes small to medium-sized businesses, educational institutions, and any environment where the firewall is a critical component of the security infrastructure. Shared hosting environments utilizing OPNsense are also at increased risk.
• linux / server:
journalctl -u opnsense -g 'ldap_escape' | grep -i error• linux / server:
ps aux | grep -i ldap_escape• generic web:
Use curl to test the login endpoint with usernames containing LDAP metacharacters (e.g., test%00). Examine the LDAP server logs for unusual search queries.
disclosure
Exploit Status
EPSS
0.21% (43% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om OPNsense bij te werken naar versie 26.1.6 of hoger. Deze update corrigeert het probleem door speciale tekens in de gebruikersnaam correct te escapen voordat ze in de LDAP-zoekfilter worden gebruikt. Het is ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico van LDAP-gebruikersopsomming te beperken. Controleer bovendien de configuratie van uw LDAP-server om ervoor te zorgen dat uitgebreide queries veilig zijn geconfigureerd en geen filterinjectie toestaan. Het monitoren van de firewall-logboeken van OPNsense op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice OPNsense a la versión 26.1.6 o posterior para mitigar la vulnerabilidad de inyección LDAP. Esta actualización corrige la falta de escape de los caracteres especiales de LDAP en el nombre de usuario, previniendo la enumeración de usuarios y el posible bypass de restricciones de grupo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
LDAP (Lightweight Directory Access Protocol) is een protocol voor het benaderen en wijzigen van informatie in een directoryservice. Het wordt vaak gebruikt voor gebruikersauthenticatie in netwerken.
Als u LDAP-authenticatie in OPNsense gebruikt en niet bent bijgewerkt naar versie 26.1.6, is uw netwerk kwetsbaar voor LDAP-gebruikersopsomming.
Als tijdelijke maatregel kunt u LDAP-authenticatie uitschakelen totdat u de update kunt toepassen. Controleer bovendien de configuratie van uw LDAP-server om potentiële gevolgen te minimaliseren.
Er zijn momenteel geen specifieke openbaar beschikbare tools om deze kwetsbaarheid te testen. U kunt proberen LDAP-speciale tekens in het veld 'gebruikersnaam' in te voeren en het gedrag van de LDAP-server te observeren.
Raadpleeg de officiële beveiligingswaarschuwing van OPNsense voor meer details: [Link naar de beveiligingswaarschuwing van OPNsense]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.