PT-2024-7960 · Librenms · Librenms
Raphaelcss
+1
·
Publicado
2024-10-01
·
Atualizado
2024-10-07
·
CVE-2024-47523
CVSS v2.0
8.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do LibreNMS anteriores à 24.9.0
Descrição
Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) no recurso “Alert Transports” permite que usuários autenticados injetem JavaScript arbitrário através da seção ‘Detalhes’. Essa vulnerabilidade pode levar à execução de código malicioso no contexto das sessões de outros usuários, comprometendo potencialmente suas contas e permitindo ações não autorizadas. O aplicativo não sanitiza adequadamente a entrada do usuário no campo “Detalhes”, permitindo que um invasor injete e armazene JavaScript arbitrário.
Recomendações
Para versões anteriores à 24.9.0, atualize para a versão 24.9.0 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao recurso “Alert Transports” para minimizar o risco de exploração. Evite usar a seção “Detalhes” no recurso “Alert Transports” até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Librenms