Krytyczna luka RCE w OPNsense umożliwiająca wykonanie kodu z uprawnieniami root

Krytyczna luka w OPNsense (CVE-2026-44194) pozwala na zdalne wykonanie kodu z uprawnieniami root. Zalecana natychmiastowa aktualizacja do wersji 26.1.8.
CVE-2026-44194CVSS 9.1Web

Krytyczna luka RCE w OPNsense umożliwiająca wykonanie kodu z uprawnieniami root

Krytyczna luka w OPNsense (CVE-2026-44194) pozwala na zdalne wykonanie kodu z uprawnieniami root. Zalecana natychmiastowa aktualizacja do wersji 26.1.8.

CVSS
9.1 CRITICAL
EPSS
92.8%
Aktywnie wykorzystywana
brak w KEV
Produkt
opnsense

Co wiadomo

W OPNsense przed wersją 26.1.8 wykryto krytyczną lukę umożliwiającą zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika z uprawnieniami zarządzania użytkownikami. Atakujący może obejść walidację danych, wykorzystując sformatowany adres e-mail, co pozwala na wykonanie dowolnych poleceń systemowych jako root.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury sieciowej opartej na OPNsense, gdyż umożliwia eskalację uprawnień i pełną kontrolę nad systemem. Operatorzy IT powinni traktować tę podatność jako krytyczną, gdyż może prowadzić do przejęcia kontroli nad urządzeniem i potencjalnego naruszenia integralności oraz poufności danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie OPNsense do wersji 26.1.8 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do funkcji zarządzania użytkownikami oraz monitorować logi systemowe pod kątem podejrzanych działań. Ponadto warto przeprowadzić przegląd uprawnień użytkowników i wdrożyć dodatkowe mechanizmy kontroli dostępu.

Źródła