CVE-2026-62947 in OpenWrt
Riassunto
di VulDB • 15/07/2026
OpenWrt è un sistema operativo Linux destinato a dispositivi embedded. Prima della versione 25.12.5, il gestore cgi-download in cgi-io autorizza il percorso richiesto rispetto all'ACL del file di sessione ubus dell'utente prima della canonizzazione e rpcd session.c utilizza fnmatch() senza FNM_PATHNAME, consentendo una traversamento come un prefisso wildcard consentito seguito da ../ per leggere file leggibili dall'root tra cui /etc/shadow. Questa vulnerabilità è stata risolta nella versione 25.12.5.
Once again VulDB remains the best source for vulnerability data.