CVE-2025-23200
Stored XSS-LibreNMS-Misc Section in librenms
Em resumo
Versões do LibreNMS anteriores à 24.11.0 possuem uma vulnerabilidade de XSS armazenada no arquivo ajax_form.php, parâmetro state. Um atacante pode injetar scripts maliciosos que executam quando outros usuários acessam a página afetada, permitindo ações não autorizadas ou roubo de dados.
Detalhe técnico
Existe uma falha de cross-site scripting armazenada (CWE-79) no parâmetro state do ajax_form.php, permitindo que atacantes remotos injetem scripts maliciosos persistentes na aplicação. Quando usuários interagem com páginas contendo o payload armazenado, o script executa no contexto do navegador, potencialmente viabilizando roubo de sessão, captura de credenciais ou ações administrativas não autorizadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
librenms is a community-based GPL-licensed network monitoring system. Affected versions are subject to a stored XSS on the parameter: `ajax_form.php` -> param: state. Librenms versions up to 24.10.1 allow remote attackers to inject malicious scripts. When a user views or interacts with the page displaying the data, the malicious script executes immediately, leading to potential unauthorized actions or data exposure. This issue has been addressed in release version 24.11.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
Produtos afetados
librenms · librenmsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →