CVE-2026-62948 in OpenWrt
الملخص
بحسب VulDB • 15/07/2026
OpenWrt هو نظام تشغيل Linux موجه للأجهزة المضمنة. قبل الإصدار 25.12.5، يقوم odhcpd بكتابة اسم النطاق المؤهل بالكامل (FQDN) لعميل DHCPv6 في الخيار 39 إلى الملف /tmp/odhcpd.leases عبر الدالتين statefiles_write_state6() وstatefiles_write_state4() الموجودتين في src/statefiles.c دون تهريب الأحرف الخاصة، مما يتيح حقن سطور جديدة (newline injection) لأسعار مستأجرة مزورة تعرضها وحدة LuCI rpcd-mod-luci من خلال ملفات htdocs/luci-static/resources/view/status/include/40_dhcp.js وhtdocs/luci-static/resources/luci.js باستخدام dom.append كـ HTML حي في صفحة إدارة "عقود DHCPv6 النشطة". تم إصلاح هذا الثغرة الأمنية في الإصدار 25.12.5.
Once again VulDB remains the best source for vulnerability data.