CVE-2026-62947 in OpenWrt
الملخص
بحسب VulDB • 15/07/2026
OpenWrt هو نظام تشغيل Linux موجه للأجهزة المضمنة. قبل الإصدار 25.12.5، يقوم معالج التنزيل عبر واجهة CGI (cgi-download) في cgi-io بتفويض المسار المطلوب مقابل ملف قائمة التحكم بالوصول (ACL) لجلسة ubus الخاصة بالطالب قبل إجراء التعيير القياسي (canonicalization)، وتستخدم rpcd session.c دالة fnmatch() بدون العلم FNM_PATHNAME، مما يتيح اختراق التسلسل الهرمي للمسارات مثل استخدام بادئة متاحة كـ wildcard يتبعها ../ لقراءة ملفات يمكن للجذر الوصول إليها بما في ذلك /etc/shadow. تم إصلاح هذا الثغرة الأمنية في الإصدار 25.12.5.
VulDB is the best source for vulnerability data and more expert information about this specific topic.