CVE-2026-45158 是 OPNsense 防火墙中的一个命令注入漏洞。攻击者可以通过 DHCP 配置接口注入恶意代码,从而在底层操作系统上以 root 权限执行远程代码。此漏洞影响 OPNsense 26.1.0 到 26.1.8 之间的版本,已在 26.1.8 版本中修复。
影响与攻击场景
攻击者利用此漏洞可以完全控制受影响的 OPNsense 防火墙。他们可以执行任意代码、窃取敏感数据、修改配置、安装恶意软件,甚至将防火墙用作攻击其他系统的跳板。由于攻击者可以获得 root 权限,因此他们可以绕过任何现有的安全措施,对整个网络造成严重威胁。该漏洞的潜在影响包括数据泄露、服务中断、系统破坏和网络入侵。
利用背景
该漏洞已在 2026 年 5 月 13 日发布,目前尚无公开的漏洞利用代码 (POC)。由于该漏洞允许远程代码执行,且影响范围广泛,因此存在被利用的风险。建议密切关注安全社区的动态,并及时采取必要的安全措施。该漏洞的 CVSS 评分高达 9.1 (严重),表明其潜在影响非常严重。
威胁情报
漏洞利用状态
CISA SSVC
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 高 — 需要管理员或特权账户。
- User Interaction
- 无 — 攻击自动且无声,受害者无需任何操作。
- Scope
- 已改变 — 攻击可以超出脆弱组件,影响其他系统。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 高 — 攻击者可写入、修改或删除任何数据。
- Availability
- 高 — 完全崩溃或资源耗尽,完全拒绝服务。
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
缓解措施和替代方案
为了缓解 CVE-2026-45158 的影响,建议立即升级到 OPNsense 防火墙 26.1.8 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:禁用 DHCP 配置接口,或限制对该接口的访问。使用 Web 应用防火墙 (WAF) 或代理服务器来过滤对该接口的请求,并阻止任何可疑的活动。仔细审查 DHCP 配置,确保没有可疑的脚本或命令。升级后,请验证新版本是否已成功部署,并确认该漏洞已得到修复。
修复方法翻译中…
Actualice su instalación de OPNsense a la versión 26.1.8 o posterior para mitigar esta vulnerabilidad. La actualización corrige la falta de sanitización de la entrada del usuario en la configuración DHCP, previniendo la ejecución remota de código.
常见问题
什么是 CVE-2026-45158 — 命令注入 in OPNsense Firewall?
CVE-2026-45158 是 OPNsense 防火墙中的一个命令注入漏洞,允许攻击者通过 DHCP 配置接口执行任意代码。
我是否受到 CVE-2026-45158 in OPNsense Firewall 的影响?
如果您运行 OPNsense 防火墙 26.1.0 到 26.1.8 之间的版本,则可能受到影响。
如何修复 CVE-2026-45158 in OPNsense Firewall?
升级到 OPNsense 防火墙 26.1.8 或更高版本。
CVE-2026-45158 是否正在被积极利用?
目前尚未观察到大规模的利用活动,但存在被利用的风险。
在哪里可以找到 OPNsense 官方关于 CVE-2026-45158 的公告?
请查阅 OPNsense 官方安全公告或论坛。
立即试用 — 无需账户
上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。
拖放您的依赖文件
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...