CVE-2024-32479
LibreNMS's Improper Sanitization on Service template name leads to Stored XSS
En resumen
LibreNMS, un sistema de monitoramiento de redes, no desinfecta adecuadamente la entrada del usuario en los nombres de plantillas de Servicio, permitiendo que atacantes inyecten código malicioso que se almacena y ejecuta en los navegadores de otros usuarios.
Detalle técnico
Existe una vulnerabilidad de XSS almacenado en LibreNMS anterior a la versión 24.4.0 debido a sanitización insuficiente del parámetro de nombre de plantilla de Servicio. Un atacante autenticado puede inyectar JavaScript malicioso que persiste en la base de datos y se ejecuta en el contexto del navegador de otros usuarios, potencialmente resultando en secuestro de sesión o robo de credenciales.
Resumen generado y traducido por IA a partir de la descripción oficial.
LibreNMS is an open-source, PHP/MySQL/SNMP-based network monitoring system. Prior to version 24.4.0, there is improper sanitization on the `Service` template name, which can lead to stored Cross-site Scripting. Version 24.4.0 fixes this vulnerability.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Productos afectados
librenms · librenms¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/librenms/librenms/blob/a61c11db7e8ef6a437ab55741658be2be7d14d34/app/Http/Controllers/ServiceTemplateController.php#L67C23-L67C23https://github.com/librenms/librenms/commit/19344f0584d4d6d4526fdf331adc60530e3f685bhttps://github.com/librenms/librenms/security/advisories/GHSA-72m9-7c8x-pmmw