CVE-2024-49754

Nome do software vulnerável e versões afetadas:

Versões do LibreNMS anteriores à 24.10.0

Descrição:

Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na página API-Access permite que usuários autenticados injetem JavaScript arbitrário por meio do parâmetro token ao criar um novo token de API. Isso pode resultar na execução de código malicioso no contexto das sessões de outros usuários, comprometendo suas contas e possibilitando ações não autorizadas.

Recomendações:

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à página API-Access ou desativar a criação de novos tokens de API até que a atualização seja aplicada. Evite usar o parâmetro token no endpoint da API afetado até que o problema seja resolvido.