🔴 严重 | CVE-2026-61876 — LuCI versions fail to properly encode DHCPv6 lease...
🔴 《严重安全漏洞:CVE-2026-61876》
CVSS 评分: 严重(9.4) 状态: Received 发布时间: 2026-07-12
漏洞简介
该漏洞(CVE-2026-61876)属于跨站脚本(Cross-Site Scripting, XSS) 类型,对应 CWE-79 分类。漏洞存在于 LuCI(OpenWrt 的 Web 管理界面)中,具体表现为:在渲染 DHCPv6 租约状态表时,LuCI 未能对 DHCPv6 租约中的主机名(hostname)进行正确的编码(encode)处理。攻击者可以通过向 DHCPv6 服务器发送包含恶意脚本标签(script tags)的客户端完全限定域名(Client FQDN),当管理员在浏览器中查看 DHCP 租约页面时,这些脚本会在管理员的浏览器上下文中执行。
影响范围
- 受影响组件:LuCI(OpenWrt 的 Web 管理界面)
- 具体版本:根据参考链接(GitHub Advisory GHSA-686p-p8p9-x6fh 及 VulnCheck 报告),该漏洞影响 LuCI 的多个版本,建议用户参考官方安全公告确认具体受影响版本范围。
- 攻击前提:攻击者需要与目标设备处于同一相邻网络(adjacent network),能够发送 DHCPv6 请求并控制 Client FQDN 字段。
风险分析
- 攻击向量:CVSS 4.0 向量为
AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H,表明攻击者需在相邻网络(Adjacent)发起攻击,攻击复杂度低(Low),无需特权(None),但需要用户交互(User Interaction,即管理员查看租约页面)。 - 潜在后果:
- 机密性(Confidentiality):攻击者可能窃取管理员的会话令牌(session token)、Cookie 或页面敏感数据,导致设备管理权限泄露。
- 完整性(Integrity):攻击者可在管理员浏览器中执行任意 JavaScript,修改页面内容或伪造表单提交,例如篡改路由器配置、添加恶意路由规则等。
- 可用性(Availability):通过脚本执行破坏页面正常功能或触发拒绝服务(DoS)行为。
- 横向移动:由于攻击代码在管理员浏览器中运行,攻击者可利用该会话进一步访问内网其他设备或服务。
- 漏洞利用方式:攻击者通过 DHCPv6 协议发送特制的 Client FQDN(例如包含
<script>alert('XSS')</script>的字符串),该字符串被 LuCI 未经编码直接插入到 DHCP 租约状态表的 HTML 中。当管理员登录 LuCI 并查看 DHCP 租约页面时,恶意脚本自动执行。 - 修复建议:开发团队应在渲染 DHCPv6 租约主机名之前,对其进行严格的 HTML 实体编码(HTML entity encoding)或使用安全的模板引擎(如转义输出)。用户应升级到包含此修复的 LuCI 版本。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-61876 |
| CVSS 评分 | 9.4 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-79 |
| 发布时间 | 2026-07-12 |
| 最后更新 | 2026-07-12 |
| 状态 | Received |
| 数据来源 | disclosure@vulncheck.com |
🔗 参考链接
💬 评论