Escanear grátis

Esta página ainda não foi traduzida para o seu idioma. Exibindo conteúdo em inglês enquanto trabalhamos nisso.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2026-44195CVSS 5.3

OPNsense: Ignorar o bloqueio de autenticação

Plataforma

linux

Componente

opnsense

Corrigido em

26.1.7

Ver no NVD
Salvar
Traduzindo para o seu idioma…

OPNsense é uma plataforma de firewall e roteamento baseada em FreeBSD. Anteriormente à 26.1.7, uma falha lógica no lockout_handler do OPNsense permite que um atacante não autenticado redefina continuamente o contador de falhas de autenticação para seu endereço IP. Ao interjeção de um nome de usuário criado contendo uma palavra-chave de sucesso ("Accepted" ou "Successful login") entre tentativas de força bruta normais, um atacante pode impedir que o contador de falhas atinja o limite de bloqueio. Esta vulnerabilidade é corrigida em 26.1.7.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Nenhum — sem impacto na integridade.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componenteopnsense
Fornecedoropnsense
Versão mínima26.1.0
Versão máxima< 26.1.7
Corrigido em26.1.7

Classificação de Fraqueza (CWE)

CWE-307

Linha do tempo

  1. Reservado
  2. Publicada

Como corrigirtraduzindo…

Actualice su instancia de OPNsense a la versión 26.1.7 o posterior para mitigar esta vulnerabilidad. La actualización corrige una falla lógica en el controlador de bloqueo de autenticación que permite a un atacante eludir el bloqueo de cuentas.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...