CVE-2026-62948 in OpenWrt
要約
〜によって VulDB • 2026年07月15日
OpenWrtは組み込みデバイス向けに設計されたLinuxオペレーティングシステムです。バージョン25.12.5より前では、odhcpdがsrc/statefiles.cのstatefiles_write_state6()およびstatefiles_write_state4()関数において、エスケープ処理を行わずにDHCPv6クライアントFQDNオプション39(ホスト名)を/tmp/odhcpd.leasesファイルに書き込むため、偽造されたリース行における改行インジェクションが可能になります。これにより、LuCIのrpcd-mod-luciがhtdocs/luci-static/resources/view/status/include/40_dhcp.jsおよびhtdocs/luci-static/resources/luci.js内のdom.appendを使用して、アクティブなDHCPv6リース管理ページでこれをライブHTMLとして表示します。この脆弱性はバージョン25.12.5で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.