OPNsense 26.1.8 patcht XMLRPC-RCE CVE-2026-44193 / 44194

FIREWALL-DRAMA im Heim-Lab und im Mittelstand! Das OPNsense-Team hat in der Nacht zum Donnerstag die Version 26.1.8 rausgehauen — und mit ihr drei teils heftige Lücken im Code, die du SOFORT patchen musst.

HAMMER: XMLRPC stopft ROOT-Loch

Die brisanteste Schwachstelle ist CVE-2026-44193: Der XMLRPC-Endpunkt opnsense.restore_config_section hat User-Input nicht ordentlich sanitisiert. Folge: Remote Code Execution. Du musst zwar authentifiziert sein, aber ein normaler Bedienerzugang reicht. Wer also mehreren Familien-Mitgliedern Lese-Konten gibt — Achtung. Wer das Webinterface ohne VPN ins Internet hängt — RAUS. Sofort.

SCHOCK: Auth-User wird ROOT

Parallel ist CVE-2026-44194 live: Wer in OPNsense ein Konto mit User-Management-Rechten hat, kann durch eine geschickt gesetzte Eingabe beliebige System-Befehle als Root ausführen. Heißt: Lokale Privilege Escalation zur kompletten Maschine. Die Lücke ist 26.1.8 endlich tot.

GEFAHR: Lockout-Bypass im Bonus

CVE-2026-44195 ist die dritte im Bunde, in 26.1.7 noch offen: Eine Logik-Lücke im lockout_handler ließ einen Angreifer den Zähler für fehlgeschlagene Logins immer wieder zurücksetzen. Brute-Force ohne Sperre, beliebig oft. Wer mit schwachem Admin-Passwort gefahren ist, hat hier monatelang Vermögen ausgeliehen — Passwort ändern ist nach dem Update sowieso Pflicht.

EXTRA-TIPP: Management hinter VPN

OPNsense-Best-Practice ist seit Jahren klar — das Webinterface gehört nicht ins Internet. Wenn du es trotzdem brauchst, dann mit Client-Certificate-Auth UND einer separaten Public-IP. Noch besser: Wireguard-Profil rein, OpenVPN-Tunnel auf der Liste, GUI nur intern. Wer das umsetzt, hat heute Nacht ruhiger geschlafen — die Lücken bleiben dann theoretisch.

FAZIT: System → Firmware → Update

Das OPNsense-Update läuft erfreulich smooth — ein Klick, ein paar Minuten, Reboot. Vorher noch System → Configuration → Backups → Download, damit du im Notfall die XML-Config zurückspielen kannst. Wer auf 26.1.6 oder älter ist, springt direkt auf 26.1.8 — die Lücken in 26.1.7 sind hier mit drin.

Häufige Fragen

Welche Versionen sind betroffen?

Alle OPNsense-Installationen vor 26.1.8. CVE-2026-44195 ist seit 26.1.7 offen, CVE-2026-44193 und 44194 seit 26.1.8 gepatcht. Die ältere LDAP-Bypass-Lücke CVE-2026-34578 wurde bereits in 26.1.6 geschlossen.

Wie merke ich, ob mein System verwundbar ist?

Login ins Webinterface, dann Lobby → Dashboard → Firmware. Wenn dort eine Version vor 26.1.8 steht, bist du verwundbar. Alternative über die Konsole: opnsense-version auf der CLI ausführen.

Wie behebe ich das Problem konkret?

System → Firmware → Updates → Click Update. Dauert wenige Minuten, ein Reboot ist nötig. Vorher Konfig sichern (System → Configuration → Backups → Download).

Gab es schon aktive Angriffe?

Aktuell sind keine bestätigten Exploits in der Wildbahn bekannt, aber CVE-2026-44193 ist ein XMLRPC-RCE — die werden traditionell schnell weaponized. CISA hat den Bug noch nicht in KEV, das kann sich aber binnen Tagen ändern.

Quellen:

FIREWALL-ALARM! OPNsense reisst JETZT auf — XMLRPC-Lücke macht jeden User zum ROOT, Update Pflicht