CVE-2026-62947 in OpenWrt
Zusammenfassung
von VulDB • 15.07.2026
OpenWrt ist ein Linux-Betriebssystem für eingebettete Geräte. Vor Version 25.12.5 autorisiert der cgi-download-Handler in cgi-io den angeforderten Pfad gegen die ACL (Access Control List) der ubus-Sitzungsdatei des Aufrufers vor der Kanonisierung, und rpcd session.c verwendet fnmatch() ohne FNM_PATHNAME, was zu einer Verzeichnistraversie führt. Dies ermöglicht beispielsweise das Lesen von root-lesbaren Dateien wie /etc/shadow durch einen erlaubten Wildcard-Präfix gefolgt von ../ . Diese Schwachstelle wurde in Version 25.12.5 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.