Pubblicato il 2026-07-12 · Fonte: NVD NIST
La vulnerabilità CVE-2026-61876 riguarda le versioni di LuCI che non codificano correttamente i nomi host delle lease DHCPv6 prima di visualizzarle nelle tabelle di stato. Ciò consente agli attaccanti di rete adiacenti di iniettare markup HTML. Gli attaccanti possono inviare un nome di dominio completo del client DHCPv6 contenente tag di script che vengono eseguiti nel browser dell'amministratore quando si visualizzano le pagine delle lease DHCP. La CVSS Score è 8.8, classificata come alta.
Un attaccante può sfruttare questa vulnerabilità inviando un nome di dominio completo del client DHCPv6 contenente tag di script. Quando l'amministratore visualizza le pagine delle lease DHCP, i tag di script vengono eseguiti nel suo browser, potenzialmente portando a conseguenze come il furto di credenziali o l'esecuzione di azioni non autorizzate. I sistemi a rischio sono quelli che utilizzano le versioni vulnerabili di LuCI.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare LuCI alla versione più recente disponibile. Se non è possibile aggiornare, si possono adottare misure di workaround come limitare l'accesso alle pagine delle lease DHCP solo agli amministratori autorizzati e utilizzare un Web Application Firewall (WAF) per bloccare le richieste sospette. Inoltre, è importante seguire le migliori pratiche di sicurezza per la configurazione e la gestione dei sistemi di rete.
La vulnerabilità CVE-2026-61876 è una vulnerabilità di iniezione di HTML che colpisce le versioni di LuCI che non codificano correttamente i nomi host delle lease DHCPv6.
L'impatto della vulnerabilità è alto, con una CVSS Score di 8.8, e può portare a conseguenze come il furto di credenziali o l'esecuzione di azioni non autorizzate.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare LuCI alla versione più recente disponibile e adottare misure di workaround come limitare l'accesso alle pagine delle lease DHCP e utilizzare un WAF per bloccare le richieste sospette.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.