CVE-2025-68614
LibreNMS Alert Rule API Cross-Site Scripting Vulnerability
Em resumo
O LibreNMS permite que atacantes injetem código malicioso nos nomes das regras de alerta através da API, que pode ser executado nos navegadores de outros usuários quando visualizam as regras. Isso pode permitir roubo de informações sensíveis ou ações não autorizadas.
Detalhe técnico
Vulnerabilidade XSS armazenado na API de Regras de Alerta do LibreNMS onde nomes de regras não sanitizados permitem injeção de HTML/JavaScript. Vetor de ataque é via API (pré-condição: acesso à API), com persistência entre sessões. Impacto inclui sequestro de sessão, roubo de credenciais e ações administrativas não autorizadas para usuários que acessam as regras armazenadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
LibreNMS is an auto-discovering PHP/MySQL/SNMP based network monitoring tool. Prior to version 25.12.0, the Alert Rule API is vulnerable to stored cross-site scripting. Alert rules can be created or updated via LibreNMS API. The alert rule name is not properly sanitized, and can be used to inject HTML code. This issue has been patched in version 25.12.0.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L
Produtos afetados
librenms · librenmsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →