CVE-2021-27821
https://notcve.org/view.php?id=CVE-2021-27821
The Web Interface for OpenWRT LuCI version 19.07 and lower has been discovered to have a cross-site scripting vulnerability which can lead to attackers carrying out arbitrary code execution. Se ha detectado que la Interfaz Web para OpenWRT LuCI versión 19.07 y anteriores presenta una vulnerabilidad de tipo cross-site scripting que puede conllevar a que los atacantes ejecuten código arbitrario • http://openwrt.com http://openwrtorg.com • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-28961
https://notcve.org/view.php?id=CVE-2021-28961
applications/luci-app-ddns/luasrc/model/cbi/ddns/detail.lua in the DDNS package for OpenWrt 19.07 allows remote authenticated users to inject arbitrary commands via POST requests. El archivo applications/luci-app-ddns/luasrc/model/cbi/ddns/detail.lua en el paquete DDNS para OpenWrt versión 19.07, permite a usuarios autenticados remotos inyectar comandos arbitrarios por medio de peticiones POST • https://github.com/openwrt/luci/commit/9df7ea4d66644df69fcea18b36bc465912ffc https://openwrt.org/advisory/2021-08-01-3 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2021-22161
https://notcve.org/view.php?id=CVE-2021-22161
In OpenWrt 19.07.x before 19.07.7, when IPv6 is used, a routing loop can occur that generates excessive network traffic between an affected device and its upstream ISP's router. This occurs when a link prefix route points to a point-to-point link, a destination IPv6 address belongs to the prefix and is not a local IPv6 address, and a router advertisement is received with at least one global unique IPv6 prefix for which the on-link flag is set. This affects the netifd and odhcp6c packages. En OpenWrt versiones 19.07.x anteriores a 19.07.7, cuando es usado IPv6, puede ocurrir un bucle de enrutamiento que genere un tráfico de red excesivo entre un dispositivo afectado y el enrutador de su ISP ascendente. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace de punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y se recibe un anuncio de enrutamiento con al menos un prefijo IPv6 único global para el que es ajustado el flag on-link. • https://openwrt.org/advisory/2021-02-02-1 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •
CVE-2019-25015
https://notcve.org/view.php?id=CVE-2019-25015
LuCI in OpenWrt 18.06.0 through 18.06.4 allows stored XSS via a crafted SSID. LuCI en OpenWrt versiones 18.06.0 hasta 18.06.4, permite un ataque de tipo XSS almacenado por medio de un SSID diseñado • https://github.com/openwrt/luci/commit/bc17ef673f734ea8e7e696ba5735588da9111dcd https://openwrt.org/advisory/2019-11-05-1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-28951
https://notcve.org/view.php?id=CVE-2020-28951
libuci in OpenWrt before 18.06.9 and 19.x before 19.07.5 may encounter a use after free when using malicious package names. This is related to uci_parse_package in file.c and uci_strdup in util.c. libuci en OpenWrt versiones anteriores a 18.06.9 y versiones 19.x anteriores a 19.07.5, puede encontrar un uso de la memoria previamente liberada cuando se utilizan nombres de paquetes maliciosos. Esto está relacionado a la función uci_parse_package en el archivo file.c y la función uci_strdup en el archivo util.c • https://git.openwrt.org/?p=openwrt/openwrt.git%3Ba=commit%3Bh=5625f5bc36954d644cb80adf8de47854c65d91c3 https://git.openwrt.org/?p=openwrt/openwrt.git%3Ba=log%3Bh=refs/tags/v18.06.9 https://git.openwrt.org/?p=project/uci.git%3Ba=commit%3Bh=a3e650911f5e6f67dcff09974df3775dfd615da6 • CWE-416: Use After Free •