CVE-2024-50352
LibreNMS has a Stored XSS ('Cross-site Scripting') in librenms/includes/html/pages/device/overview/services.inc.php
En resumen
LibreNMS permite que usuarios autenticados inyecten código malicioso en la sección de Servicios, que se almacena y se ejecuta en navegadores de otros usuarios al ver la página. Esto podría permitir robo de datos de sesión o acciones como otro usuario.
Detalle técnico
Vulnerabilidad XSS almacenado en la página de Servicios de Device Overview existe en el parámetro 'name' al agregar un servicio. Un atacante autenticado puede inyectar JavaScript arbitrario que persiste en la base de datos y se ejecuta en navegadores de víctimas con sus privilegios, potencialmente conduciendo a secuestro de sesión o acciones no autorizadas en la gestión de dispositivos.
Resumen generado y traducido por IA a partir de la descripción oficial.
LibreNMS is an open-source, PHP/MySQL/SNMP-based network monitoring system. A Stored Cross-Site Scripting (XSS) vulnerability in the "Services" section of the Device Overview page allows authenticated users to inject arbitrary JavaScript through the "name" parameter when adding a service to a device. This vulnerability could result in the execution of malicious code in the context of other users' sessions, potentially compromising their accounts and enabling unauthorized actions. This vulnerability is fixed in 24.10.0.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Productos afectados
librenms · librenms¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →