AdGuard Home 又爆路径穿越漏洞（CVE-2026-41448），家里的 DNS 拦截器该升级了

AdGuard Home 又爆路径穿越漏洞（CVE-2026-41448），家里的 DNS 拦截器该升级了

AdGuard Home 昨天（6 月 2 日）紧急发布了 v0.107.77，修复了一个授权绕过漏洞 CVE-2026-41448。如果你把 AdGuard Home 跑在家里的 NAS、软路由或者小主机上做全屋 DNS 过滤，这篇值得花 5 分钟看一下。

这次到底发生了什么

简单说：GLiNET 模式下的授权检查存在路径穿越漏洞，攻击者可以通过构造特殊请求绕过授权，访问本应受保护的资源。

漏洞编号 CVE-2026-41448，由社区成员 @djnnvx 报告。AdGuard 官方在 GitHub Release 中致谢了这位研究者，从措辞来看不是那种”理论上可能被利用”的论文级漏洞，而是具备实际利用路径的。

值得留意的是，这个月 AdGuard Home 的安全更新密度明显增加——这已经是近两周内的第三个安全相关发布：

版本	日期	安全问题
v0.107.77	6月2日	CVE-2026-41448 GLiNET 路径穿越
v0.107.76	5月21日	DNSSEC 禁用时 DNS 缓存异常
v0.107.75	5月19日	GHSA-xgx4-4h9w-53pv DoH/DoQ 到明文上游的隐私泄露

同时发布的还有 beta 分支 v0.108.0-b.88，也同步修复了同一个漏洞。

谁需要关注

并不是所有 AdGuard Home 用户都受影响。以下几个条件同时满足才需要紧张：

1. 你启用了 GLiNET 模式（这是 GL.iNet 路由器集成的特殊部署模式）
2. AdGuard Home 的 Web 管理界面暴露在非信任网络中（比如端口直接映射到公网）
3. 当前版本低于 v0.107.77

如果你用的是标准部署——比如 Docker 跑在 NAS 上、或者裸二进制跑在软路由上，并且管理界面只在内网访问，实际风险较低。但安全更新的原则是”能升就升”。

升级操作

升级方式取决于你的部署方式，我整理了几种常见场景的命令：

Docker 部署（最常见）

docker pull adguard/adguardhome:v0.107.77
docker stop adguardhome
docker rm adguardhome
docker run --name adguardhome 
  -v /path/to/work:/opt/adguardhome/work 
  -v /path/to/conf:/opt/adguardhome/conf 
  -p 53:53/tcp -p 53:53/udp 
  -p 3000:3000/tcp 
  --restart unless-stopped 
  -d adguard/adguardhome:v0.107.77

裸二进制 / Linux 服务器

wget https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.107.77/AdGuardHome_linux_amd64.tar.gz
tar xzf AdGuardHome_linux_amd64.tar.gz
systemctl stop AdGuardHome
cp AdGuardHome/AdGuardHome /opt/AdGuardHome/AdGuardHome
systemctl start AdGuardHome

OpenWrt / 软路由

如果你的 OpenWrt 上装了 AdGuard Home（不管是直接装还是通过 luci-app 装的），升级路径取决于你用的包来源。一般思路是停服务 → 替换二进制 → 重启。注意 OpenWrt 上的路径可能是 /usr/bin/AdGuardHome 或 /opt/AdGuardHome/，先 find / -name AdGuardHome 确认。

升级前的注意事项

1. 建议先备份 AdGuardHome.yaml。虽然小版本升级一般不涉及配置 schema 变更，但备份一下不费事。
2. 这次从 v0.107.76 开始，YAML 配置中的时长单位支持了 d（天），如果你从更早版本升级上来，配置里如果用了 d 单位，回滚到旧版本前需要把 d 转成小时数，否则旧版解析会报错。
3. API 有个小变动：GET /control/querylog 新增了 reason 参数，旧的 response_status 参数标记为 deprecated。如果你有脚本调这个 API，后续可以考虑迁移。

我的判断

AdGuard Home 最近的安全更新节奏变快，不一定是坏事——这说明项目在安全方面投入了更多精力，社区报告渠道也运转良好。但反过来看，作为跑在家庭网络核心位置的基础设施，DNS 过滤器的攻击面确实比很多人以为的大。

如果你跟我一样把 AdGuard Home 当成”装了就不管”的基础服务，现在也许是时候上去看一眼版本号了。看两个数字：当前版本和 Web 管理界面是否暴露到了公网。如果两项都踩中，今天就升。

来源：GitHub Release Notes — AdGuard Home v0.107.77
https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.77