الثغرات ›

CVE-2026-46368

مرتفع

CWE-77 — نوع الضعف

                    نُشر: May 26, 2026                      ·  آخر تحديث: Jun 2, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

luci-app-https-dns-proxy through 2025.12.29-5 — an optional LuCI web UI add-on for the https-dns-proxy package, distributed through the OpenWrt community packages feed and not installed by default — contains a command injection vulnerability in the setInitAction function. An authenticated user holding the luci.https-dns-proxy ACL permission can inject shell metacharacters through the 'name' parameter of a ubus RPC call to luci.https-dns-proxy setInitAction, resulting in arbitrary command execution as root on the underlying device. Core OpenWrt is not affected; only installations that have opted in to the luci-app-https-dns-proxy package are vulnerable.

🤖 ملخص AI

CVE-2026-46368 is a command injection vulnerability in luci-app-https-dns-proxy that allows authenticated users with specific ACL permissions to execute arbitrary commands as root through the 'name' parameter in ubus RPC calls. The vulnerability affects versions through 2025.12.29-5 and only impacts OpenWrt installations that have explicitly installed this optional package.

📄 الوصف (العربية)

ثغرة حقن أوامر في دالة setInitAction بحزمة luci-app-https-dns-proxy الاختيارية لـ OpenWrt تسمح للمستخدمين المصرح لهم بحقن أحرف metacharacters عبر معامل 'name'. يمكن للمهاجم تنفيذ أوامر عشوائية بصلاحيات جذر على الجهاز الأساسي، مما يؤدي إلى اختراق كامل للنظام.

🤖 ملخص تنفيذي (AI)

CVE-2026-46368 هو ثغرة حقن أوامر في luci-app-https-dns-proxy تسمح للمستخدمين المصرح لهم بتنفيذ أوامر عشوائية كمسؤول جذر من خلال معامل 'name' في استدعاءات ubus RPC. تؤثر الثغرة على الإصدارات حتى 2025.12.29-5 وتؤثر فقط على تثبيتات OpenWrt التي قامت بتثبيت هذه الحزمة الاختيارية بشكل صريح.

🤖 التحليل الذكي آخر تحليل: May 31, 2026 00:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government energy

🎯 تقنيات MITRE ATT&CK

T1190 T1059 T1548

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update luci-app-https-dns-proxy to a patched version beyond 2025.12.29-5 immediately. If the package is not required, uninstall it from OpenWrt systems. Review and restrict ACL permissions for luci.https-dns-proxy to trusted administrators only. Monitor system logs for suspicious ubus RPC calls to luci.https-dns-proxy setInitAction.

🔧 خطوات المعالجة (العربية)

قم بتحديث luci-app-https-dns-proxy إلى إصدار مصحح بعد 2025.12.29-5 فوراً. إذا لم تكن الحزمة مطلوبة، قم بإلغاء تثبيتها من أنظمة OpenWrt. راجع وقيد أذونات ACL لـ luci.https-dns-proxy للمسؤولين الموثوقين فقط. راقب سجلات النظام للاستدعاءات المريبة لـ ubus RPC إلى luci-app-https-dns-proxy setInitAction.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.3.1

🔵 SAMA CSF

ID.AC-3 PR.AC-1 PR.AC-4 DE.CM-1

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3 A.12.6.1

🔗 المراجع والمصادر 3

🔗

https://github.com/stangri/luci-app-https-dns-proxy

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/52521

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/luci-app-https-dns-proxy-authenticated-command-inj...

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-77

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-26

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-77

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-46368

عرّفنا بنفسك

تسجيل الدخول مطلوب