Krytyczna luka RCE w OPNsense umożliwiająca wykonanie kodu z uprawnieniami root
Krytyczna luka w OPNsense (CVE-2026-44194) pozwala na zdalne wykonanie kodu z uprawnieniami root. Zalecana natychmiastowa aktualizacja do wersji 26.1.8.
- CVSS
- 9.1 CRITICAL
- EPSS
- 92.8%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- opnsense
Co wiadomo
W OPNsense przed wersją 26.1.8 wykryto krytyczną lukę umożliwiającą zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika z uprawnieniami zarządzania użytkownikami. Atakujący może obejść walidację danych, wykorzystując sformatowany adres e-mail, co pozwala na wykonanie dowolnych poleceń systemowych jako root.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury sieciowej opartej na OPNsense, gdyż umożliwia eskalację uprawnień i pełną kontrolę nad systemem. Operatorzy IT powinni traktować tę podatność jako krytyczną, gdyż może prowadzić do przejęcia kontroli nad urządzeniem i potencjalnego naruszenia integralności oraz poufności danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie OPNsense do wersji 26.1.8 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do funkcji zarządzania użytkownikami oraz monitorować logi systemowe pod kątem podejrzanych działań. Ponadto warto przeprowadzić przegląd uprawnień użytkowników i wdrożyć dodatkowe mechanizmy kontroli dostępu.