CVE-2024-51496

Versões do LibreNMS anteriores à 24.10.0

Uma vulnerabilidade de Cross-Site Scripting (XSS) refletido no parâmetro metric dos endpoints “/wireless” e “/health” permite que invasores injetem JavaScript arbitrário, comprometendo potencialmente a sessão do usuário e permitindo ações não autorizadas. Isso ocorre devido à sanitização inadequada do parâmetro metric. Os invasores podem executar código malicioso quando um usuário acessa a página com um parâmetro metric malicioso.

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso aos endpoints “/wireless” e “/health” para minimizar o risco de exploração. Evite usar o parâmetro metric nesses endpoints até que o problema seja resolvido.