Vulnerabilidad en LuCI (CVE-2026-32721)

LuCI es la interfaz de configuración de OpenWrt. Las versiones anteriores a la 24.10.5 y a la 25.12.0 contienen una vulnerabilidad de XSS almacenado en el modal de escaneo inalámbrico, donde los valores de SSID de los resultados del escaneo se renderizan como HTML sin procesar sin ninguna sanitización. El archivo wireless.js en el paquete luci-mod-network pasa los SSID a través de un literal de plantilla a dom.append(), que los procesa a través de innerHTML, permitiendo a un atacante crear un SSID malicioso que contenga HTML/JavaScript arbitrario. La explotación requiere que el usuario abra activamente el modal de escaneo inalámbrico (por ejemplo, para conectarse a un punto de acceso Wi-Fi o para explorar canales cercanos), y solo afecta a las versiones de OpenWrt posteriores a la 23.05/22.03 hasta las versiones parcheadas (24.10.6 y 25.12.1). El problema ha sido solucionado en la versión LuCI 26.072.65753~068150b.