CVE-2024-50352

Nome do software vulnerável e versões afetadas:

Versões do LibreNMS anteriores à 24.10.0

Descrição:

Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na seção “Serviços” da página Visão Geral do Dispositivo permite que usuários autenticados injetem JavaScript arbitrário por meio do parâmetro name ao adicionar um serviço a um dispositivo. Isso pode resultar na execução de código malicioso no contexto das sessões de outros usuários, comprometendo potencialmente suas contas e possibilitando ações não autorizadas.

Recomendações:

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à seção “Serviços” da página Visão geral do dispositivo para minimizar o risco de exploração. Evite usar o parâmetro name no endpoint da API afetado até que o problema seja resolvido.