PT-2026-57559 · Openwrt · Luci-App-Upnp

Lujiefsi

·

Publicado

2026-07-12

·

Atualizado

2026-07-12

·

CVE-2026-61875

CVSS v3.1

8.8

Alta

VetorAV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas luci-app-upnp (versões afetadas não especificadas)
Description Ocorre um cross-site scripting armazenado quando clientes LAN não autenticados injetam JavaScript por meio de requisições SOAP AddPortMapping do UPnP IGD. O problema surge porque o campo NewPortMappingDescription pode conter HTML malicioso, que é armazenado pelo miniupnpd e posteriormente renderizado pelo luci-app-upnp sem a codificação de saída. Isso permite que a carga útil seja executada quando administradores acessam as páginas de Status ou UPnP.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61875

Produtos afetados

Luci-App-Upnp