CVE-2024-49754
LibreNMS has a stored XSS ('Cross-site Scripting') in librenms/includes/html/pages/api-access.inc.php
Em resumo
O LibreNMS permite que usuários autenticados injetem código malicioso na página de criação de tokens de API, que é executado quando outros usuários a acessam. Isso pode permitir que atacantes roubem informações de sessão ou realizem ações não autorizadas em nome de outros usuários.
Detalhe técnico
Vulnerabilidade de XSS armazenado na página API-Access (api-access.inc.php) onde o parâmetro 'token' não é adequadamente sanitizado durante a criação de tokens. Um atacante autenticado pode injetar JavaScript arbitrário que persiste no banco de dados e é executado nos navegadores de outros usuários acessando a mesma página, potencialmente levando ao comprometimento de contas e operações não autorizadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
LibreNMS is an open-source, PHP/MySQL/SNMP-based network monitoring system. A Stored Cross-Site Scripting (XSS) vulnerability in the API-Access page allows authenticated users to inject arbitrary JavaScript through the "token" parameter when creating a new API token. This vulnerability can result in the execution of malicious code in the context of other users' sessions, compromising their accounts and enabling unauthorized actions. This vulnerability is fixed in 24.10.0.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:L
Produtos afetados
librenms · librenmsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →