Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la contraseña de configuración de luci_service en el comando GETPASS en los dispositivos Libre Wireless LS9 (CVE-2020-35756)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306 Ausencia de autenticación para una función crítica
Fecha de publicación:
03/05/2021
Última modificación:
12/07/2022

Descripción

Se detectó un problema en los dispositivos Libre Wireless LS9 versión LS1.5/p7040. Se presenta un filtrado de información de contraseña de configuración de luci_service GETPASS. El demonio luci_service que se ejecuta en el puerto 7777 no requiere autenticación para devolver la contraseña de configuración del dispositivo en texto sin cifrar cuando se usa el comando GETPASS. Como tal, cualquier persona no autenticada con acceso al puerto 7777 en el dispositivo podrá filtrar la contraseña de configuración del dispositivo personal del usuario al emitir el comando GETPASS.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:librewireless:ls9_firmware:7040:*:*:*:*:*:*:*
cpe:2.3:h:librewireless:ls9:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información