CVE-2024-49758

Nome do software vulnerável e versões afetadas:

Versões do LibreNMS anteriores à 24.10.0

Descrição:

O aplicativo não sanitiza adequadamente as entradas do usuário, permitindo que um invasor execute código JavaScript malicioso. Esse problema ocorre quando um usuário com função de administrador adiciona notas a um dispositivo e o ExamplePlugin está habilitado. Se houver código JavaScript dentro das notas do dispositivo, ele será acionado. Isso poderia permitir que usuários autenticados executassem código JavaScript arbitrário no contexto das sessões de outros usuários, comprometendo potencialmente contas e possibilitando ações não autorizadas.

Recomendações:

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o ExamplePlugin até que um patch esteja disponível. Restrinja o acesso ao recurso Notas para usuários com funções de administrador para minimizar o risco de exploração. Evite usar o recurso Notas nas configurações do dispositivo até que o problema seja resolvido.