CVE-2024-52526

Versões do LibreNMS anteriores à 24.10.0

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na guia “Serviços” da página “Dispositivo” permite que usuários autenticados injetem código JavaScript arbitrário por meio do parâmetro descr ao adicionar um serviço a um dispositivo. Isso pode resultar na execução de código malicioso no contexto das sessões de outros usuários, comprometendo potencialmente suas contas e permitindo ações não autorizadas. A vulnerabilidade é explorada pela injeção de uma carga XSS no parâmetro descr, que é refletida na guia “Serviços” do dispositivo. A causa principal é a falha do aplicativo em sanitizar o parâmetro descr antes de exibi-lo no HTML.

Para versões anteriores à 24.10.0, atualize para a versão 24.10.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à guia “Serviços” da página do dispositivo ou desativar a capacidade de adicionar serviços aos dispositivos até que a atualização seja aplicada. Evite usar o parâmetro descr no endpoint da API afetado até que o problema seja resolvido.