PT-2024-32640 · Librenms · Librenms
Raphaelcss
+1
·
Publicado
2024-10-01
·
Atualizado
2024-12-19
·
CVE-2024-47526
CVSS v3.1
3.5
Baixa
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
LibreNMS (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade de Self Cross-Site Scripting (Self-XSS) no recurso “Modelos de Alerta” permite que os usuários injetem código JavaScript arbitrário no nome do modelo de alerta. Esse script é executado imediatamente após o envio, mas não persiste após a atualização da página. A vulnerabilidade ocorre ao criar um modelo de alerta na interface do LibreNMS, onde o aplicativo sanitiza o campo “nome” ao armazená-lo no banco de dados, mas esse modelo recém-criado é imediatamente adicionado à tabela sem que qualquer sanitização seja aplicada ao nome. A causa principal dessa vulnerabilidade reside na falta de sanitização da variável
name antes de ela ser renderizada na tabela.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Librenms