CRITICAL🇬🇧 English

CVE-2026-44194

OPNsense — RCE przez command injection w zarządzaniu użytkownikami (przed 26.1.8)

CVSS 9.1v3.1pub. 2026-05-13upd. 2026-05-15

Podatność w OPNsense (firewall oparty na FreeBSD) umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami zarządzania użytkownikami wykonanie dowolnych poleceń systemowych jako root. Błąd jest krytyczny, ponieważ pozwala na całkowite przejęcie kontroli nad systemem firewall.

Pokaż oryginał (EN)

OPNsense is a FreeBSD based firewall and routing platform. Prior to 26.1.8, an authenticated Remote Code Execution (RCE) vulnerability in the OPNsense core allows a user with user-management privileges to execute arbitrary system commands as root. An attacker can bypass input validation by formatting their malicious payload as a compliant email address, allowing shell commands to reach the underlying operating system. The flaw exists in the local user synchronization flow, within core/src/opnsense/scripts/auth/sync_user.php. This vulnerability is fixed in 26.1.8.

🤖 Analiza AI
Jak działa

Luka typu command injection (CWE-78) występuje w skrypcie sync_user.php, odpowiedzialnym za synchronizację lokalnych użytkowników. Atakujący może ominąć mechanizm walidacji danych wejściowych, formatując złośliwy payload jako prawidłowy adres e-mail. Tak spreparowane dane zawierające polecenia powłoki są przekazywane do systemu operacyjnego i wykonywane z uprawnieniami root.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnych poleceń systemowych z najwyższymi uprawnieniami (root), co może prowadzić do pełnego przejęcia urządzenia, wycieku danych konfiguracyjnych oraz naruszenia integralności i dostępności systemu firewall.

Mitygacja

Należy zaktualizować OPNsense do wersji 26.1.8, w której podatność została naprawiona. Jako środek tymczasowy należy ograniczyć uprawnienia zarządzania użytkownikami wyłącznie do zaufanych administratorów.

Kogo dotyczy

OPNsense we wszystkich wersjach poprzedzających 26.1.8

Uwagi

Podatność wymaga posiadania uprawnień do zarządzania użytkownikami (PR:H), jednak zakres ataku wykracza poza kontekst aplikacji (S:C), co uzasadnia ocenę CVSS 9.1. Szczegóły opublikowano w ramach GitHub Security Advisory GHSA-f59w-m967-9rf6.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Opnsense

    APP
    Opnsense
    < 26.1.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEFirewallCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-44193CRITICAL9.1PL ✓ten sam produkt

OPNsense XMLRPC RCE poprzez brak sanityzacji danych wejściowych

CVE-2026-45158CRITICAL9.1PL ✓ten sam produkt

OPNsense: RCE jako root przez niesanityzowany input w konfiguracji DHCP

CVE-2025-50989CRITICAL9.1PL ✓ten sam produkt

OPNsense – command injection w edycji interfejsu Bridge (RCE jako root)

CVE-2023-27152CRITICAL9.8ten sam produkt

DECISO OPNsense 23.1 does not impose rate limits for authentication, allowing attackers to perform a brute-for...

CVE-2023-39001CRITICAL9.8ten sam produkt

A command injection vulnerability in the component diag_backup.php of OPNsense Community Edition before 23.7 a...