CVE-2024-50351

Nome do software vulnerável e versões afetadas:

Versões do LibreNMS anteriores à 24.10.0

Descrição:

Uma vulnerabilidade de Cross-Site Scripting (XSS) refletido no parâmetro section da guia de registros de um dispositivo permite que invasores injetem código JavaScript arbitrário. Essa vulnerabilidade resulta na execução de código malicioso quando um usuário acessa a página com um parâmetro section malicioso, comprometendo potencialmente sua sessão e permitindo ações não autorizadas. O problema decorre da falta de sanitização na função report this(). A vulnerabilidade permite que invasores executem JavaScript arbitrário no contexto da sessão de um usuário criando uma URL maliciosa, o que pode levar ao sequestro de sessão, ações não autorizadas ou exploração adicional por meio da injeção de scripts maliciosos.

Recomendações:

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à guia de logs ou desativar a função report this() até que um patch esteja disponível. Evite usar o parâmetro section no endpoint da API afetado até que o problema seja resolvido.