CVE-2024-50352
LibreNMS has a Stored XSS ('Cross-site Scripting') in librenms/includes/html/pages/device/overview/services.inc.php
Em resumo
O LibreNMS permite que usuários autenticados injetem código malicioso na seção de Serviços, que fica armazenado e é executado nos navegadores de outros usuários ao visualizarem a página. Isso pode permitir roubo de dados de sessão ou ações como outro usuário.
Detalhe técnico
Vulnerabilidade de XSS armazenado na página de Serviços do Device Overview existe no parâmetro 'name' ao adicionar um serviço. Um atacante autenticado pode injetar JavaScript arbitrário que persiste no banco de dados e é executado no navegador das vítimas com seus privilégios, potencialmente levando ao sequestro de sessão ou ações não autorizadas no gerenciamento de dispositivos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
LibreNMS is an open-source, PHP/MySQL/SNMP-based network monitoring system. A Stored Cross-Site Scripting (XSS) vulnerability in the "Services" section of the Device Overview page allows authenticated users to inject arbitrary JavaScript through the "name" parameter when adding a service to a device. This vulnerability could result in the execution of malicious code in the context of other users' sessions, potentially compromising their accounts and enabling unauthorized actions. This vulnerability is fixed in 24.10.0.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
librenms · librenmsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →