Ahmet Mersin

**Nome do Software Vulnerável e Versões Afetadas** luci-app-https-dns-proxy versões anteriores a 2025.12.29-5 **Description** Um usuário autenticado com a permissão ACL `luci.https-dns-proxy` pode executar comandos arbitrários como root no dispositivo subjacente. Isso ocorre por meio de uma injeção de comando na função `setInitAction()`, onde metacaracteres de shell podem ser injetados através do parâmetro `name` de uma chamada ubus RPC para 'luci.https-dns-proxy setInitAction'. Este problema afeta o add-on opcional de interface web LuCI para o pacote https-dns-proxy distribuído através do feed de pacotes da comunidade OpenWrt; o núcleo do OpenWrt não é afetado. **Recommendations** Atualize para uma versão posterior a 2025.12.29-5. Como medida paliativa temporária, restrinja o acesso à função `setInitAction()` ou ao parâmetro `name` na chamada ubus RPC 'luci.https-dns-proxy setInitAction'.

Name of the Vulnerable Software and Affected Versions: Huawei HG255s-10 version V100R001C163B025SP02 Description: The issue is due to insufficient validation of received HTTP requests, allowing a remote attacker to access local files on the device without authentication. This is a result of a path traversal vulnerability. Recommendations: For Huawei HG255s-10 version V100R001C163B025SP02, consider restricting access to the device until a patch is available, and avoid using HTTP requests that could potentially exploit the path traversal vulnerability. At the moment, there is no information about a newer version that contains a fix for this vulnerability.