CVE-2024-51497

Versões do LibreNMS anteriores à 24.10.0

Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na guia “Custom OID” de um dispositivo permite que usuários autenticados injetem JavaScript arbitrário por meio do parâmetro unit ao criar um novo OID. Isso pode levar à execução de código malicioso no contexto das sessões de outros usuários, comprometendo suas contas e possibilitando ações não autorizadas.

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à guia “Custom OID” ou desativar a capacidade de criar novos OIDs até que a atualização possa ser aplicada. Evite usar o parâmetro unit no endpoint da API afetado até que o problema seja resolvido.