CVE-2024-50355

Nome do software vulnerável e versões afetadas:

Versões do LibreNMS anteriores à 24.10.0

Descrição:

O aplicativo não sanitiza adequadamente a entrada do usuário no campo “Display Name” (Nome de exibição) do dispositivo, permitindo que um invasor execute código JavaScript malicioso. Isso pode ser acionado a partir de diferentes fontes, incluindo a página “Manage Access” (Gerenciar acesso), “Alert Rules” (Regras de alerta), “Alerts Notifications” (Notificações de alertas), “Alert History” (Histórico de alertas), “Event Log” (Log de eventos), a função “Outages” (Interrupções) e o painel de controle. O impacto desse problema pode permitir que usuários autenticados executem código JavaScript arbitrário no contexto das sessões de outros usuários, comprometendo potencialmente as contas dos usuários e possibilitando ações não autorizadas.

Recomendações:

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao campo “Nome de exibição do dispositivo” para usuários com funções de administrador até que a atualização seja aplicada. Além disso, evite usar código JavaScript no campo “Nome de exibição do dispositivo” para minimizar o risco de exploração.