PT-2024-33674 · Librenms · Librenms
Raphaelcss
+1
·
Publicado
2024-11-15
·
Atualizado
2024-11-20
·
CVE-2024-49764
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Versões do LibreNMS anteriores à 24.10.0
Descrição:
Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na página “Capture Debug Information” permite que usuários autenticados injetem JavaScript arbitrário por meio do parâmetro
hostname ao criar um novo dispositivo. Isso resulta na execução de código malicioso quando a página “Capture Debug Information” é visitada, redirecionando o usuário e enviando cookies não-httponly para um domínio controlado pelo invasor.Recomendações:
Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à página “Capture Debug Information” para minimizar o risco de exploração. Evite usar o parâmetro
hostname na página afetada até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Librenms