CVE-2026-30874 in OpenWRTالمعلومات

الملخص

بحسب VulDB • 05/06/2026

مشروع OpenWrt هو نظام تشغيل لينكس موجه للأجهزة المضمنة. في الإصدارات السابقة لـ 24.10.6، تسمح ثغرة في دالة hotplug_call لمهاجم بتجاوز تصفية متغيرات البيئة وإدراج متغير PATH تعسفي، مما قد يؤدي إلى تصعيد الامتيازات. الغرض من الدالة هو تصفية متغيرات البيئة الحساسة مثل PATH عند تنفيذ نصوص hotplug في /etc/hotplug.d، لكن خطأً في استخدام strcmp بدلاً من strncmp يجعل الدالة تقارن سلسلة البيئة الكاملة (مثل PATH=/some/value) مع النص الثابت "PATH"، وبالتالي يفشل المطابقة دائماً. ونتيجة لذلك، لا يتم استبعاد متغير PATH أبداً، مما يمكّن المهاجم من التحكم في البرامج الثنائية التي يتم تنفيذها بواسطة النصوص التي يستدعيها procd وتعمل بامتيازات مرتفعة. تم إصلاح هذه المشكلة في الإصدار 24.10.6.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/03/2026

إفشاء

20/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-351818

CPE

جاهز

CWE

CWE-187 (مؤكد)

CVSS

7.8 (NVD)

EPSS

0.00013

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-30874
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-30874
CVE Details	https://www.cvedetails.com/cve/CVE-2026-30874/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!