Louhan-Dev

**Nome do software vulnerável e versões afetadas** Versões do LibreNMS anteriores à 24.4.0 **Descrição** Uma vulnerabilidade de injeção de SQL no endpoint POST /search/search=packages do LibreNMS permite que um usuário com privilégios globais de leitura execute comandos SQL por meio do parâmetro `package`. Essa vulnerabilidade pode ser explorada para extrair todos os dados do banco de dados, incluindo credenciais de administrador. **Recomendações** Para versões anteriores à 24.4.0, atualize para a versão 24.4.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/search/search=packages` até que um patch seja aplicado. Evite usar o parâmetro `package` no endpoint da API afetado até que o problema seja resolvido.