Ataque XSS-to-Root injeta código malicioso por meio de SSID de Wi-Fi ou nome de nó LoRa

O ataque XSS-to-Root via SSID de Wi-Fi ou nome de nó LoRa não é uma nova classe de vulnerabilidade, mas uma aplicação inusitada, e operacionalmente eficaz, de XSS armazenado em ambientes de infraestrutura embarcada. Diferentemente de ataques XSS tradicionais que dependem de links manipulados ou formulários web, aqui o vetor de entrada é um campo de protocolo de rede: o SSID (até 32 bytes, sem restrições de caracteres) ou o adv_name do MeshCore LoRa, ambos exibidos diretamente em interfaces web sem sanitização. Casos reais já foram confirmados: a CVE-2026-32721 no OpenWrt LuCI (divulgada em 19 de março de 2026), a CVE-2025-50740 na biblioteca AutoConnect (março de 2025) e a falha no meshcore-card do Home Assistant (3 de junho de 2026). Em todos, o código malicioso é executado no navegador do administrador ao simplesmente visualizar a lista de redes ou nós, sem necessidade de conexão ou interação ativa.

O ataque escala para root porque essas interfaces geralmente rodam com privilégios elevados no dispositivo (ex.: shell via UCI no OpenWrt ou execução de add-ons no Home Assistant). A escalada não depende de engenharia social sofisticada, mas da falha estrutural de confiar em dados de camada de rede como se fossem confiáveis, um erro comum em firmware com navegadores embarcados antigos (como WebKitGTK 2.x ou Chromium Embedded Framework desatualizado), onde atualizações de segurança são raras ou inexistentes.

Esse vetor importa porque muda o cenário de ameaça: o invasor não precisa comprometer servidores, APIs ou redes corporativas, basta estar fisicamente próximo o suficiente para que seu SSID ou nó LoRa seja detectado por um dispositivo alvo. Um único ponto de acesso Wi-Fi malicioso pode infectar dezenas de roteadores OpenWrt em um quarteirão; um nó LoRa com adv_name manipulado pode propagar o payload por toda uma rede mesh, mesmo sem alcance direto, graças à retransmissão entre nós. Isso torna o ataque escalável, difícil de rastrear e altamente eficaz em ambientes com pouca supervisão técnica, como smart cities, indústria 4.0 e automação residencial baseada em Home Assistant.

Além disso, ele expõe uma lacuna crítica na cadeia de segurança embarcada: a falta de validação de entrada em campos de protocolo que acabam sendo renderizados no DOM. Muitos desenvolvedores assumem que SSID ou nome de nó são apenas metadados inofensivos, mas, quando exibidos em uma interface web sem codificação de saída (ex.: innerHTML sem escape), viram vetores de execução remota tão perigosos quanto um formulário de login vulnerável.

Para desenvolvedores de firmware e aplicações IoT, o impacto é direto: qualquer interface web que exiba dados provenientes de camadas de rede, como listas de Wi-Fi escaneados, nomes de dispositivos LoRa, identificadores de BLE, ou até mensagens MQTT recebidas, deve tratar esses valores como não confiáveis. Isso significa evitar innerHTML, usar textContent ou funções de escape específicas (ex.: DOMPurify.sanitize() para HTML dinâmico), e validar entrada no nível do parser do protocolo (ex.: recusar caracteres não ASCII ou tags HTML no adv_name). Não basta sanitizar no backend: o risco está na renderização no navegador embarcado, muitas vezes sem suporte a Content Security Policy (CSP) moderna.

Atualizações de navegador embarcado devem ser priorizadas, não como um 'nice to have', mas como parte crítica do ciclo de segurança. Projetos como OpenWrt já adotaram mitigação pós-CVE-2026-32721 com escape automático de SSIDs no LuCI, mas isso só funciona se o firmware for atualizado. Em sistemas legados, a única defesa viável é remover ou desabilitar funcionalidades de exibição desses campos, ou substituir renderização dinâmica por templates estáticos com conteúdo pré-processado.