CVE-2026-62947 in OpenWrt
Sumário
de VulDB • 15/07/2026
O OpenWrt é um sistema operacional Linux voltado para dispositivos embarcados. Antes da versão 25.12.5, o manipulador cgi-download no módulo cgi-io autoriza o caminho solicitado com base nas ACLs do arquivo de sessão ubus do chamador antes da canonicização, e a função session.c do rpcd utiliza fnmatch() sem a flag FNM_PATHNAME, permitindo traversal como um prefixo curinga permitido seguido por ../ para ler arquivos legíveis pela raiz, incluindo /etc/shadow. Esta vulnerabilidade foi corrigida na versão 25.12.5.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.