CVE-2025-34088

Nome do Software Vulnerável e Versões Afetadas: Versões do Pandora FMS 7.0NG e anteriores

Descrição: Existe uma vulnerabilidade de execução remota de código autenticada, permitindo que usuários autenticados executem comandos arbitrários do sistema operacional através do parâmetro select ips na funcionalidade "net tools.php" ao realizar operações de ferramentas de rede, como ping. Isso ocorre porque a entrada do usuário não é devidamente sanitizada antes de ser passada para comandos do sistema, possibilitando a injeção de comandos.

Recomendações: Para as versões do Pandora FMS 7.0NG e anteriores, como medida temporária, considere desativar a funcionalidade net tools.php até que uma correção esteja disponível. Restrinja o acesso ao módulo net tools.php para minimizar o risco de exploração. Evite usar o parâmetro select ips no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.