Se ha descubierto una vulnerabilidad de severidad crítica en OPNsense. Un actor malicioso podría ejecutar código arbitrario con privilegios de superusuario en el host del firewall afectado.
Productos afectados
OPNsense core:
- Versiones 26.1.7_2 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–44193: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de inyección de argumentos en el punto final XMLRPC al utilizar el método opnsense.restore_config_section. Un actor malicioso remoto con privilegios elevados de biblioteca XMLRPC podría enviar solicitudes diseñadas que no son saneadas adecuadamente antes de ser procesadas por las funciones internas de gestión de usuarios. Al recargar los servicios, los argumentos manipulados permiten la ejecución remota de código en el sistema operativo subyacente con el nivel de privilegios más alto.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias