概要
OPNsense(FreeBSD ベースのファイアウォール・ルーティングプラットフォーム)の XMLRPC エンドポイントにリモートコード実行の脆弱性が存在します。XMLRPC メソッド opnsense.restore_config_section がユーザー提供の入力を適切にサニタイズしないため、引数インジェクション(CWE-88)によるリモートコード実行が可能です。
OPNsense はネットワーク境界を保護するファイアウォール製品であるため、本脆弱性の悪用はネットワーク全体のセキュリティに直接影響します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | Low |
| User Interaction | None |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響を受けるバージョン |
|---|---|---|
| OPNsense | Deciso B.V. | 26.1.7 未満 |
修正バージョンと回避策
修正バージョン: OPNsense 26.1.7 以降
推奨対応:
- OPNsense の管理インターフェースから 26.1.7 以降へのアップデートを実施する
- アップデートが困難な場合は、XMLRPC エンドポイントへのアクセスをネットワークレベルで制限する
- 管理インターフェースをインターネットから直接アクセス可能な状態にしている場合は、速やかにアクセス制御を見直す
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。