CVE-2024-51495

Versões do LibreNMS anteriores à 24.10.0

Uma vulnerabilidade de tipo Stored Cross-Site Scripting (XSS) na página de visão geral do dispositivo permite que usuários autenticados injetem código JavaScript arbitrário por meio do parâmetro overwrite ip ao editar um dispositivo. Isso resulta na execução de código malicioso quando a página de visão geral do dispositivo é visitada, comprometendo potencialmente as contas de outros usuários. A vulnerabilidade ocorre ao editar um dispositivo, e um invasor pode injetar JavaScript arbitrário no parâmetro overwrite ip. O script malicioso é então executado no campo “IP atribuído” quando a página de visão geral do dispositivo é carregada.

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à página Visão geral do dispositivo ou desativar a edição de dispositivos para minimizar o risco de exploração. Evite usar o parâmetro overwrite ip no endpoint da API afetado até que o problema seja resolvido.