Podczas używania RTL - interfejsu webowego dla LND znalazłem podatność, która pozwala na odczytanie dowolnego pliku (uprawnienia oczywiście zależne od użytkownika systemowego) z systemu operacyjnego na którym jest uruchomiony LND. Atakujący moze w ten sposób wykraść dane z serwera jak np. konfiguracje bitcoind, wallet, klucze SSH itp. 

Podatność zgłosiłem autorowi oprogramowania, należy poczekać aż poprawi błąd. Aktualnie radzę wyłączyć swoje RTL. Co prawda podatność występuje tylko dla zalogowanych użytkowników, ale że RTL nie ma zabezpieczenia przed brute force to ryzyko występuje. 

Opis zgłoszonej podatności https://github.com/ShahanaFarooqui/RTL/issues/37