PT-2024-24590 · Librenms · Librenms
Louhan-Dev
·
Publicado
2024-04-22
·
Atualizado
2026-02-19
·
CVE-2024-32461
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do LibreNMS anteriores à 24.4.0
Descrição
Uma vulnerabilidade de injeção de SQL no endpoint POST /search/search=packages do LibreNMS permite que um usuário com privilégios globais de leitura execute comandos SQL por meio do parâmetro
package. Essa vulnerabilidade pode ser explorada para extrair todos os dados do banco de dados, incluindo credenciais de administrador.Recomendações
Para versões anteriores à 24.4.0, atualize para a versão 24.4.0 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao endpoint
/search/search=packages até que um patch seja aplicado.Evite usar o parâmetro
package no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Librenms