OpenWrt 25.12.1 服务版本发布说明

发布日期：2026年3月19日
版本：OpenWrt 25.12.1 (r32768-b21cfa8f8c Dave's Guitar)

text

  _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 OpenWrt 25.12.1, r32768-b21cfa8f8c Dave's Guitar
 -----------------------------------------------------

⚠ 开发中版本提示
此版本尚未正式发布。本页面信息在正式发布前可能会有变更。

OpenWrt 社区自豪地宣布 OpenWrt 25.12 稳定系列的最新版本发布。

下载固件：

• 通过 固件选择器 下载设备固件

• 直接从 OpenWrt 下载服务器 获取固件镜像

在多数情况下，可以使用 sysupgrade 工具从 OpenWrt 24.10 升级到 25.12，该工具会尝试保留配置。但升级到 OpenWrt 25.12 时，强烈建议备份配置（详见下文“升级说明”）。

关于 OpenWrt

OpenWrt 项目是一个针对嵌入式设备的 Linux 操作系统。它可以完全替代各类无线路由器及非网络设备的供应商固件。支持设备列表请参阅 硬件兼容表。更多关于项目组织的信息，请访问 关于 OpenWrt 页面。

关注新版本和安全公告

想及时了解新版本发布和安全修复等重要变更吗？
我们为此设立了新的邮件列表以及 RSS 选项：请关注 重要变更与公告。

OpenWrt 25.12.0 与 25.12.1 的主要变更

以下仅列出主要变更。完整更新日志请参阅 changelog-25.12.1。

安全修复

OpenWrt 组件（源自 2026年2月 Trail of Bits 审计）：

• CVE-2026-30871：umdns 在处理 DNS PTR 查询时存在栈缓冲区溢出漏洞（高危）

• CVE-2026-30872：umdns 在处理 IPv6 反向 DNS 查找时存在栈缓冲区溢出漏洞（高危）

• CVE-2026-30873：jsonpath 在处理字符串、标签和正则表达式 token 时存在内存泄漏（低危）

• CVE-2026-30874：procd 中存在通过 PATH 环境变量绕过过滤器执行命令的漏洞（低危）

LuCI：

• CVE-2026-32721：LuCI WiFi 扫描模态框中存在通过恶意 SSID 进行 XSS 攻击的漏洞（高危）

来自 Trail of Bits 审计的额外加固（未分配 CVE）：

• odhcpd：修复 DHCPv6 身份关联日志记录中的栈缓冲区溢出

• procd：修复 cgroup 路径构建和 cgroup 规则应用中的越界写入问题

设备支持

• airocha：修复 EN7581 PCIe 初始化问题，新增 x2（双通道）链路支持 — 提升了 PCIe 可靠性，为受影响设备解锁全部带宽

• ath79：TP-Link RE355 v1, RE450 v1/v2：修复分区对齐问题，防止 sysupgrade 时配置丢失

• ipq40xx：启用 Devolo Magic 2 WiFi next 设备支持

• ipq40xx：重新启用 MeshPoint.One 目标平台

• ipq806x：AP3935：修复 U-Boot NVMEM 布局

• lantiq：修复 GPIO 扩展器时钟（gpio-stp-xway）— 恢复受影响设备的 LED 和 GPIO 正常行为

• lantiq：修复部分设备的 WAN MAC 地址分配缺失问题

• mediatek：Cudy M3000：新增对采用 Motorcomm YT8821 PHY 硬件变体的支持（此前仅支持 Realtek PHY 变体）

• mediatek：TP-Link BE450：修复导致间歇性启动停滞的 10GbE PHY 复位时序问题，添加缺失的 WLAN 切换按钮，修复报告的内存大小

• microchipsw：Novarq Tactical 1000：修复端口 1 和 3 的 SFP I2C 总线颠倒问题 — 解决 SFP EEPROM 读取失败

• ramips：Keenetic KN-1910：修复 sysupgrade 功能

• realtek：基于 RTL838x 的交换机：修复重启无效的问题

• 全平台：Linksys 设备：修复 MAC 地址分配

WiFi 修复与改进

• mac80211：修复使用 AP VLAN 接口时，信道切换公告（CSA）触发的内核崩溃

• mt76：新增对 MT7990 固件的支持（新款 MediaTek WiFi 7 芯片组）

• mt76：mt7915：修复省电模式处理

• mt76：mt7921/MT7902：新增对 MT7902e MCU 和 DMA 布局的支持

• mt76：mt7996/mt7992：修复发送路径崩溃，修复硬件重启时的越界访问，改进 MLO/CSA 和雷达检测支持

• wifi-scripts：修复错误的 VHT160 能力通告 — 之前在非 160 MHz AP 配置下错误设置，导致站点上传速度下降（#22435）

• wifi-scripts：修复当 802.1X EAP 凭证（身份、密码、证书）包含空格时，生成的 wpa_supplicant 配置格式错误的问题（#22212）

Web 界面 (LuCI) 与系统修复

• luci-mod-network：修复 WiFi 扫描模态框中的 XSS 漏洞（CVE-2026-32721）

• ustream-ssl (OpenSSL 变体)：修复高负载下 uhttpd（LuCI Web 服务器）因 use-after-free 崩溃的问题（#19349）

网络与系统修复

• firewall4：设为优于旧版 firewall 的首选防火墙软件包

• iptables：当 iptables 作为依赖被引入时，优先使用 nftables 后端的变体（iptables-nft, ip6tables-nft）

• 内核：CAKE 队列规则（QoS）调度器修复 — 避免未设置速率限制时不必要的同步开销，修复 DiffServ 速率缩放

• 内核：SFP：改进对 Huawei MA5671a 模块的支持 — 即使未连接光纤，模块现在也可访问

• odhcpd：修复禁用 DHCP 接口时的段错误，修复 DHCPv4 租约树损坏，修复 DHCPv6 租约查询中的字段截断，修复 DNS 搜索列表填充

• ppp：修复潜在的内存安全问题（memcpy 重叠缓冲区导致的未定义行为）；移除了 PPPoE 连接的 MRU 限制补丁（#573）

包管理器 (apk)

• apk：更新至 3.0.5 版本，包含多项 OpenWrt 特定的错误修复

• apk：新增 --force-reinstall 选项，可在不更改版本的情况下重新安装已安装的软件包

核心组件更新

• apk：从 3.0.2 更新至 3.0.5

• jsonfilter：从 2025-10-04 更新至 2026-03-16（修复 CVE-2026-30873）

• libubox：从 2026-02-13 更新至 2026-03-13（为 25.12 稳定系列稳定了 ABI 版本）

• Linux 内核：从 6.12.71 更新至 6.12.74

• odhcpd：从 2026-01-19 更新至 2026-03-16

• omcproxy：从 2025-10-04 更新至 2026-03-07

• procd：从 2026-02-20 更新至 2026-03-14（修复 CVE-2026-30874）

• umdns：从 2025-10-04 更新至 2026-02-06（修复 CVE-2026-30871, CVE-2026-30872）

• ustream-ssl：从 2025-10-03 更新至 2026-03-01

升级到 25.12

对于大多数设备，从 24.10 升级到 25.12 应该是透明的，因为大部分配置数据要么保持不变，要么在首次启动时由软件包初始化脚本正确转换。在 OpenWrt 25.12 稳定系列内部进行升级时，还支持参与式升级（Attended Sysupgrade），可以保留已安装的软件包。

⚠ 重要提醒

• 不支持从 23.05 或更早版本直接 sysupgrade 到 25.12。

• Cron 日志级别：在 busybox 中已修复。system.@system[0].cronloglevel 应设置为 7 以获取正常日志。现在 7 是默认值。如果未设置此选项，将使用默认值，无需手动操作。（提交信息）

• Bananapi BPI-R4：接口 eth1 已重命名为 sfp-lan 或 lan4，接口 eth2 已重命名为 sfp-wan，以与标签匹配。您必须在不保存配置的情况下进行升级。（提交信息）

• TP-Link RE355 v1, RE450 v1 和 RE450 v2：此版本更改了分区布局和块大小，以修复 sysupgrade 时配置丢失的问题。从 OpenWrt 25.12.0 或更早版本升级的用户必须使用 sysupgrade -F 强制升级。固件镜像不得超过 5.875 MB（6016 KiB）。

已知问题

• Zyxel EX5601-T0：WAN 接口已从 eth1 重命名为 wan — 升级后请检查并更新您的网络配置。

• Pixel 10 手机：连接受 WPA3 保护的 WiFi 6 接入点时存在问题。（#21486）

• 802.11r 快速过渡（FT）：与使用 WPA3 的某些 WiFi 客户端连接时会导致问题。（#22200）

• SQM CAKE MQ (cake_mq)：在本版本的调度器修复后，某些配置下的吞吐量可能意外偏低。（#22344）

结语

一如既往，衷心感谢所有活跃的软件包维护者、测试者、文档撰写者和支持者们！

祝使用愉快！

OpenWrt 社区