Vulnerabilidad en la contraseña de configuración de luci_service en el comando GETPASS en los dispositivos Libre Wireless LS9 (CVE-2020-35756)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
03/05/2021
Última modificación:
12/07/2022
Descripción
Se detectó un problema en los dispositivos Libre Wireless LS9 versión LS1.5/p7040. Se presenta un filtrado de información de contraseña de configuración de luci_service GETPASS. El demonio luci_service que se ejecuta en el puerto 7777 no requiere autenticación para devolver la contraseña de configuración del dispositivo en texto sin cifrar cuando se usa el comando GETPASS. Como tal, cualquier persona no autenticada con acceso al puerto 7777 en el dispositivo podrá filtrar la contraseña de configuración del dispositivo personal del usuario al emitir el comando GETPASS.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:librewireless:ls9_firmware:7040:*:*:*:*:*:*:* | ||
cpe:2.3:h:librewireless:ls9:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página