Gratis scannen

Deze pagina is nog niet vertaald naar uw taal. We werken eraan — de inhoud wordt voorlopig in het Engels weergegeven.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-44195CVSS 5.3

OPNsense: Authenticatie lockout bypass

Platform

linux

Component

opnsense

Opgelost in

26.1.7

Bekijk op NVD
Opslaan
Wordt vertaald naar uw taal…

OPNsense is een FreeBSD gebaseerd firewall en routing platform. Voor 26.1.7, een logische fout in de OPNsense lockout_handler stelt een ongeautoriseerde aanvaller in staat om continu de authenticatie failure counter voor hun IP-adres te resetten. Door een crafted username met een succes keyword ("Accepted" of "Successful login") tussen normale brute-force pogingen in te voegen, kan een aanvaller voorkomen dat de failure counter ooit de lockout drempel bereikt. Deze kwetsbaarheid is verholpen in 26.1.7.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Geen — geen integriteitsimpact.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentopnsense
Leverancieropnsense
Minimumversie26.1.0
Maximumversie< 26.1.7
Opgelost in26.1.7

Zwakheidsclassificatie (CWE)

CWE-307

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Hoe te verhelpenwordt vertaald…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar esta vulnerabilidad. La actualización corrige una falla lógica en el controlador de bloqueo de autenticación que permite a un atacante eludir el bloqueo de cuentas.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...