CVE-2022-41435

OpenWrt LuCI versão git-22.140.66206-02913be

O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada no componente /system/sshkeys.js. Essa vulnerabilidade permite que invasores executem scripts da web ou HTML arbitrários por meio de comentários de chave pública especialmente criados. A vulnerabilidade também está relacionada ao módulo luci-mod-system da configuração da interface web LuCI no sistema operacional embarcado OpenWrt, que não protege a estrutura da página web ao processar a chave SSH do arquivo /etc/dropbear/authorized keys. Isso pode permitir que um invasor remoto execute ataques de cross-site scripting.

Para a versão git-22.140.66206-02913be do OpenWrt LuCI, considere desativar o componente /system/sshkeys.js até que um patch esteja disponível. Restrinja o acesso aos comentários de chaves SSH para minimizar o risco de exploração. Evite usar comentários de chaves públicas criados especificamente para esse fim no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.