CVE-2024-47524

Versões do LibreNMS anteriores à 24.9.0

O aplicativo não sanitiza adequadamente as entradas do usuário no nome dos Grupos de Dispositivos, permitindo que um invasor execute código JavaScript malicioso quando um usuário visualiza os detalhes do Grupo de Dispositivos. Isso pode ser explorado criando-se um novo Grupo de Dispositivos com código JavaScript malicioso em seu nome. Por exemplo, usar o atributo onerror em uma tag img, como <img src="x" onerror="alert(document.cookie)">, pode acionar a execução do código malicioso quando os detalhes do Grupo de Dispositivos são visualizados. Esse problema pode afetar todos os usuários que têm acesso à página de detalhes do grupo de dispositivos, já que qualquer pessoa pode potencialmente executar código JavaScript malicioso.

Para versões anteriores à 24.9.0, atualize para a versão 24.9.0 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao recurso Grupos de Dispositivos para usuários não administradores e evitar o uso de dados inseridos pelo usuário no nome dos Grupos de Dispositivos até que o problema seja resolvido. Além disso, desativar a execução de JavaScript no navegador ao visualizar os detalhes do Grupo de Dispositivos pode ajudar a mitigar o risco de exploração.