OpenWrt 25.12.5 schließt kritische Sicherheitslücken in Routern

OpenWrt hat am 1. Juli 2026 die Version OpenWrt 25.12.5 veröffentlicht. Das fünfte Service Release der stabilen 25.12-Serie behebt mehrere Sicherheitslücken in Router- und Netzwerkkomponenten. Das Projekt empfiehlt die Aktualisierung ausdrücklich. Mehrere Schwachstellen sind aus der Ferne oder aus dem lokalen Netzwerk erreichbar.

Für Router, Access Points, Heimserver und eingebettete Geräte mit Linux-Firmware ist das Update besonders wichtig. OpenWrt nennt in den Release Notes unter anderem odhcpd, LuCI, uhttpd, OpenSSL, musl libc, Dropbear und den Linux-Kernel. Viele dieser Komponenten laufen auf Geräten mit dauerhaftem Einsatz im Heimnetz oder in kleinen Firmennetzen.

Der kritischste Teil betrifft odhcpd. Der Dienst stellt DHCPv6, DHCPv4 und Router Advertisements bereit. In typischen OpenWrt-Installationen ist odhcpd zentral für die Adressvergabe. OpenWrt nennt mehrere Schwachstellen, darunter CVE-2026-53921 mit kritischer Einstufung. Dabei geht es um einen Stack Buffer Overflow in der DHCPv6-IA-Antwortverarbeitung. Ein Angreifer im gleichen Netzwerksegment kann die Lücke laut Release Notes mit speziell präparierten DHCPv6-REQUEST-Paketen erreichen.

OpenWrt 25.12.5 behebt Lücken in odhcpd, LuCI und uhttpd

OpenWrt 25.12.5 schließt weitere odhcpd-Schwachstellen mit hoher oder moderater Einstufung. Dazu zählen ein Use-after-free-Fehler im DHCPv6-IA-Handler, eine mögliche Speicherpreisgabe über gekürzte DHCPv6-Optionen und ein Denial-of-Service-Problem vor der Authentifizierung. Zusätzlich wurde ein Problem im NDP-Relay korrigiert. Unter bestimmten Bedingungen konnte dieses Problem Neighbor-Solicitation-Pakete mit ungültigem Hop Limit akzeptieren.

Auch LuCI, die Weboberfläche von OpenWrt, erhält mehrere Sicherheitskorrekturen. Besonders relevant ist eine kritische Stored-XSS-Lücke im Zusammenspiel mit odhcpd. Ein nicht authentifizierter DHCPv6-Client konnte manipulierte Lease-Zeilen über einen präparierten FQDN-Hostnamen einschleusen. Der Code konnte anschließend auf der LuCI-Statusseite für DHCPv6-Leases landen. OpenWrt behebt das Problem durch Escape-Logik für Client-Hostnamen in der Lease-State-Datei.

Weitere LuCI-Korrekturen betreffen installierbare Anwendungen wie luci-app-tailscale-community, luci-app-advanced-reboot, luci-app-adblock-fast, luci-app-samba4, luci-app-travelmate, luci-app-upnp und luci-app-banip. Viele Schwachstellen betreffen Systeme mit delegierten Benutzerrechten. In mehreren Fällen konnten begrenzte Rechte zu Root-Befehlsausführung führen. Andere Fehler betrafen Stored XSS über Netzwerkclients.

Der kleine Webserver uhttpd bekommt ebenfalls Sicherheitskorrekturen. OpenWrt nennt drei HTTP-Request-Smuggling-Probleme bei Keep-alive-Verbindungen. Zusätzlich wurde in cgi-io ein Pfad-Traversal-Fehler korrigiert. Ein authentifizierter Nutzer mit breiter Leseberechtigung konnte dadurch unter Umständen Dateien lesen. OpenWrt nennt als Beispiel /etc/shadow.

Kernel, OpenSSL und Dropbear erhalten ebenfalls Sicherheitskorrekturen

OpenWrt 25.12.5 aktualisiert den Linux-Kernel von 6.12.87 auf 6.12.94. Damit fließen stabile Upstream-Korrekturen aus den Versionen 6.12.88 bis 6.12.94 ein. OpenWrt nennt als Beispiel CVE-2026-43500. Für Router ist dieser Teil wichtig, weil Kernel-Lücken je nach Modul, Treiber und Paketstand auch Geräte ohne aktiv genutzte Weboberfläche betreffen können.

OpenSSL steigt in OpenWrt 25.12.5 von 3.5.6 auf 3.5.7. Die Aktualisierung enthält laut OpenWrt mehrere Sicherheitsfixes. Dazu kommen Backports für musl libc sowie Dropbear-Korrekturen aus den Upstream-Versionen 2026.90 und 2026.91. Dropbear ist der SSH-Server und SSH-Client vieler OpenWrt-Systeme. OpenWrt nennt unter anderem CVE-2019-6111 und CVE-2026-35385.

Das Thema passt in eine breitere Patch-Welle bei Netzwerkdiensten. Erst Ende Juni ging es auf Ghacks Deutschland um ein Ubuntu-Sicherheitsupdate für den NSD-DNS-Server. Auch dort standen dauerhaft erreichbare Infrastrukturkomponenten im Mittelpunkt. OpenWrt 25.12.5 betrifft nun Geräte am Rand des Netzwerks. Genau dort treffen lokale Clients, WLAN, DNS, DHCP und Fernwartung aufeinander.

Das Release bringt außerdem neue Geräteunterstützung. Neu genannt werden unter anderem Linksys MR9000, GL.iNET GL-MT3600BE, JioRouter AX6000, TP-Link F65 v1, Zyxel NAS326 und Cudy WR300 v1. Zusätzlich gibt es Korrekturen für einzelne Plattformen, darunter MikroTik-, Mediatek-, Ramips-, Mvebu- und Airoha-Ziele.

Beim Upgrade bleibt OpenWrt vorsichtig. Ein Wechsel von OpenWrt 24.10 auf 25.12 soll auf den meisten Geräten transparent funktionieren. Innerhalb der 25.12-Serie unterstützt OpenWrt auch Attended Sysupgrade. Dadurch bleiben installierte Pakete besser erhalten. Ein Sysupgrade von 23.05 oder älter auf 25.12 wird offiziell nicht unterstützt.

Admins sollten vor dem Update die gerätespezifischen Hinweise lesen. OpenWrt nennt Sonderfälle wie Bananapi BPI-R4, TP-Link RE355, TP-Link RE450, Meraki MX60 und Sitecom WLR-7100. Bei bekannten Problemen erwähnt OpenWrt unter anderem eine umbenannte WAN-Schnittstelle beim Zyxel EX5601-T0, Verbindungsprobleme von Pixel-10-Geräten mit WPA3-geschützten WiFi-6-Access-Points, Probleme mit 802.11r Fast Transition bei WPA3 und mögliche Durchsatzprobleme bei SQM CAKE MQ.

Für Betreiber mit vielen Geräten lohnt sich zusätzlich ein Blick auf automatisierte Update-Prozesse. Bei Software-Abhängigkeiten helfen Werkzeuge wie GitHub Dependabot. Bei OpenWrt bleibt die eigentliche Firmware-Aktualisierung aber ein eigener Admin-Prozess mit Backup, Geräteprüfung und geplantem Wartungsfenster.

OpenWrt 25.12.5 ist kein kleines Wartungsupdate. Das Release schließt kritische und hoch eingestufte Lücken in Standarddiensten, Weboberfläche, Kernel, Kryptobibliothek und SSH-Komponente. Betreiber produktiver OpenWrt-Geräte sollten das Update zeitnah planen, Backups erstellen und gerätespezifische Upgrade-Hinweise prüfen.