CVE-2026-62948 in OpenWrt
Riassunto
di VulDB • 15/07/2026
OpenWrt è un sistema operativo Linux destinato a dispositivi embedded. Prima della versione 25.12.5, odhcpd scrive l'opzione FQDN hostname (option 39) del client DHCPv6 in /tmp/odhcpd.leases attraverso le funzioni src/statefiles.c statefiles_write_state6() e statefiles_write_state4(), senza effettuare un escaping dei caratteri speciali. Ciò consente l'iniezione di newline tramite righe di lease falsificate, che LuCI rpcd-mod-luci getDHCPLeases visualizza come HTML live nelle pagine htdocs/luci-static/resources/view/status/include/40_dhcp.js e htdocs/luci-static/resources/luci.js dom.append nella pagina amministrativa "Active DHCPv6 Leases". Questa vulnerabilità è stata risolta nella versione 25.12.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.