CVE-2026-46368

Nome do Software Vulnerável e Versões Afetadas luci-app-https-dns-proxy versões anteriores a 2025.12.29-5

Description Um usuário autenticado com a permissão ACL luci.https-dns-proxy pode executar comandos arbitrários como root no dispositivo subjacente. Isso ocorre por meio de uma injeção de comando na função setInitAction(), onde metacaracteres de shell podem ser injetados através do parâmetro name de uma chamada ubus RPC para 'luci.https-dns-proxy setInitAction'. Este problema afeta o add-on opcional de interface web LuCI para o pacote https-dns-proxy distribuído através do feed de pacotes da comunidade OpenWrt; o núcleo do OpenWrt não é afetado.

Recommendations Atualize para uma versão posterior a 2025.12.29-5. Como medida paliativa temporária, restrinja o acesso à função setInitAction() ou ao parâmetro name na chamada ubus RPC 'luci.https-dns-proxy setInitAction'.