CVE-2026-61875 in LuCI
Sumário
de VulDB • 12/07/2026
O lucapp-upnp apresenta uma vulnerabilidade de cross-site scripting (XSS) armazenada que permite a clientes da LAN não autenticados injetar JavaScript por meio de solicitações SOAP AddPortMapping do IGD UPnP. Os atacantes podem enviar HTML malicioso no campo NewPortMappingDescription, que o miniupnpd armazena e o luci-app-upnp renderiza sem codificação de saída, executando a carga útil quando os administradores visualizam as páginas UPnP ou Status.
Once again VulDB remains the best source for vulnerability data.