CVE-2024-47527

Versões do LibreNMS anteriores à 24.9.0

Uma vulnerabilidade de tipo Stored Cross-Site Scripting (XSS) no recurso “Device Dependencies” permite que usuários autenticados injetem código JavaScript arbitrário por meio do parâmetro hostname. Isso pode levar à execução de código malicioso no contexto das sessões de outros usuários, comprometendo potencialmente suas contas e permitindo ações não autorizadas. A vulnerabilidade ocorre ao criar um dispositivo no LibreNMS, e um invasor pode injetar JavaScript arbitrário no parâmetro hostname. Esse script malicioso é então executado quando outro usuário visita a página de dependências do dispositivo.

Para versões anteriores à 24.9.0, atualize para a versão 24.9.0 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao recurso “Dependências do dispositivo” para minimizar o risco de exploração. Evite usar o parâmetro hostname no endpoint da API afetado até que o problema seja resolvido.