CVE-2024-49754

LibreNMS has a stored XSS ('Cross-site Scripting') in librenms/includes/html/pages/api-access.inc.php

CVSS 7.5 HIGHEPSS 69.8%CWE-79

En resumen

LibreNMS permite que usuarios autenticados inyecten código malicioso en la página de creación de tokens de API, que se ejecuta cuando otros usuarios la acceden. Esto podría permitir que los atacantes roben información de sesión o realicen acciones no autorizadas en nombre de otros usuarios.

Detalle técnico

Vulnerabilidad de XSS almacenado en la página API-Access (api-access.inc.php) donde el parámetro 'token' no se sanitiza adecuadamente durante la creación de tokens. Un atacante autenticado puede inyectar JavaScript arbitrario que persiste en la base de datos y se ejecuta en los navegadores de otros usuarios que acceden a la misma página, lo que puede comprometer cuentas y permitir operaciones no autorizadas.

Resumen generado y traducido por IA a partir de la descripción oficial.

LibreNMS is an open-source, PHP/MySQL/SNMP-based network monitoring system. A Stored Cross-Site Scripting (XSS) vulnerability in the API-Access page allows authenticated users to inject arbitrary JavaScript through the "token" parameter when creating a new API token. This vulnerability can result in the execution of malicious code in the context of other users' sessions, compromising their accounts and enabling unauthorized actions. This vulnerability is fixed in 24.10.0.

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:L

Productos afectados

librenms · librenms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/librenms/librenms/commit/25988a937cbaebd2ba4c0517510206c404dfb359 https://github.com/librenms/librenms/security/advisories/GHSA-gfwr-xqmj-j27v