CVE-2025-62411
Stored XSS in Alert Transport name field in LibreNMS
En resumen
LibreNMS permite que administradores almacenen código malicioso en nombres de Transportes de Alerta, que se ejecuta al ver la página de Reglas de Alerta. Un atacante puede robar cookies de sesión o realizar acciones como administrador.
Detalle técnico
Vulnerabilidad de XSS almacenado en la funcionalidad de Transportes de Alertas donde el campo de nombre no se valida ni codifica en la representación de la página de Reglas de Alerta. Requiere privilegios de administrador para inyectar la carga; afecta confidencialidad e integridad de sesiones administrativas.
Resumen generado y traducido por IA a partir de la descripción oficial.
LibreNMS is a community-based GPL-licensed network monitoring system. LibreNMS <= 25.8.0 contains a Stored Cross-Site Scripting (XSS) vulnerability in the Alert Transports management functionality. When an administrator creates a new Alert Transport, the value of the Transport name field is stored and later rendered in the Transports column of the Alert Rules page without proper input validation or output encoding. This leads to arbitrary JavaScript execution in the admin’s browser. This vulnerability is fixed in 25.10.0.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
Productos afectados
librenms · librenms¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →