CVE-2025-62411
Stored XSS in Alert Transport name field in LibreNMS
Em resumo
O LibreNMS permite que administradores armazenem código malicioso no nome de Transporte de Alertas, que é executado ao visualizar a página de Regras de Alerta. Um atacante pode roubar cookies de sessão ou realizar ações como administrador.
Detalhe técnico
Vulnerabilidade de XSS armazenado na funcionalidade de Transportes de Alertas, onde o campo de nome não é validado nem codificado na exibição da página de Regras de Alerta. Exige privilégios de administrador para injetar a carga; afeta confidencialidade e integridade de sessões administrativas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
LibreNMS is a community-based GPL-licensed network monitoring system. LibreNMS <= 25.8.0 contains a Stored Cross-Site Scripting (XSS) vulnerability in the Alert Transports management functionality. When an administrator creates a new Alert Transport, the value of the Transport name field is stored and later rendered in the Transports column of the Alert Rules page without proper input validation or output encoding. This leads to arbitrary JavaScript execution in the admin’s browser. This vulnerability is fixed in 25.10.0.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
Produtos afetados
librenms · librenmsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →