Una vulnerabilidad clasificada como problemática fue encontrada en MikroTik RouterOS hasta 2021-01-04 (Router Operating System). Una función desconocida del componente Hotspot Login Page es afectada por esta vulnerabilidad. Por la manipulación del parámetro target de un input desconocido se causa una vulnerabilidad de clase cross site scripting. Esto tiene repercusión sobre la integridad.

La vulnerabilidad fue publicada el 2021-01-05 (no está definido). El advisory puede ser descargado de m4dm0e.github.io. La vulnerabilidad es identificada como CVE-2021-3014. Resulta fácil de explotar. El ataque se puede hacer desde la red. Para explotarla se requiere una autentificación. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.

Solución:

No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.