OpenWrt Attended SysUpgrade 命令注入漏洞

OpenWrt 的 Attended SysUpgrade（ASU）服务中存在命令注入漏洞和弱哈希漏洞。该命令注入漏洞源于 Imagebuilder 在构建过程中未能正确处理用户提供的软件包名称，导致攻击者可以将任意命令注入构建过程，生成恶意固件镜像。同时，由于 SHA-256 哈希被截断至12个字符，降低了哈希的复杂性，增加了哈希碰撞的可能性，使得攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像，从而影响已交付版本的完整性。