CVE-2026-61875 in LuCI
要約
〜によって VulDB • 2026年07月12日
luci-app-upnp には、認証されていない LAN クライアントが UPnP IGD の AddPortMapping SOAP リクエストを介して JavaScript を注入できる保存型クロスサイトスクリプティング (XSS) の脆弱性が存在します。攻撃者は NewPortMappingDescription フィールドに悪意のある HTML を送信でき、miniupnpd がこれを格納し、luci-app-upnp が入力出力エンコーディングを行わずにレンダリングするため、管理者が UPnP またはステータスページを表示した際にペイロードが実行されます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.