Pubblicato il 2026-06-29 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58000 è una vulnerabilità di iniezione di comandi presente in luci-proto-openvpn, fino alla versione 0.11.1. Il problema si verifica nel metodo generateKey ubus, dove il parametro cl_meta viene interpolato in un comando shell senza una corretta escape o citazione. Un utente autenticato LuCI con accesso alla configurazione del protocollo OpenVPN può iniettare metacaratteri shell arbitrari in cl_meta per eseguire comandi come root tramite la funzione popen. La vulnerabilità è stata risolta nel commit e4ff45e.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari come root sul sistema, ottenendo così un accesso completo e non autorizzato. I sistemi a rischio sono quelli che utilizzano luci-proto-openvpn fino alla versione 0.11.1 e che consentono l'accesso alla configurazione del protocollo OpenVPN agli utenti autenticati LuCI.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare luci-proto-openvpn alla versione più recente disponibile, che include la correzione per il commit e4ff45e. In assenza di un aggiornamento disponibile, è importante limitare l'accesso alla configurazione del protocollo OpenVPN e monitorare attentamente le attività del sistema per rilevare eventuali tentativi di sfruttamento della vulnerabilità.
La vulnerabilità CVE-2026-58000 è una vulnerabilità di iniezione di comandi presente in luci-proto-openvpn, che consente agli utenti autenticati LuCI di eseguire comandi arbitrari come root.
Il punteggio CVSS della vulnerabilità CVE-2026-58000 è 8.8, classificato come alto.
Per proteggersi da questa vulnerabilità, è consigliabile aggiornare luci-proto-openvpn alla versione più recente disponibile e limitare l'accesso alla configurazione del protocollo OpenVPN.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.