CVE-2026-62948 in OpenWrt
Resumen
por VulDB • 2026-07-15
OpenWrt es un sistema operativo Linux destinado a dispositivos integrados. Antes de la versión 25.12.5, odhcpd escribe una opción FQDN (nombre de dominio completamente cualificado) del cliente DHCPv6 con el nombre de host en /tmp/odhcpd.leases a través de las funciones statefiles_write_state6() y statefiles_write_state4() en src/statefiles.c sin realizar un escape adecuado, lo que permite la inyección de saltos de línea mediante líneas de arrendamiento falsificadas que LuCI rpcd-mod-luci getDHCPLeases muestra como HTML vivo a través de htdocs/luci-static/resources/view/status/include/40_dhcp.js y htdocs/luci-static/resources/luci.js dom.append en la página de administración "Active DHCPv6 Leases". Esta vulnerabilidad se corrige en la versión 25.12.5.
If you want to get best quality of vulnerability data, you may have to visit VulDB.