Уязвимость веб-интерфейса LuCI встраиваемой операционной системы OpenWrt связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии до уровня root с помощью JSON-RPC-API
Компенсирующие меры:
- ограничение доступа к JSON-RPC-API (или его отключение при условии нормального функционирования системы);
- применение многофакторной аутентификации для административных учетных записей;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
| Балл | 7.7 — высокая опасность |