CVE-2025-23200

Nome do Software Vulnerável e Versões Afetadas Versões do Librenms até a 24.10.1

Descrição A vulnerabilidade consiste em uma XSS armazenada que afeta o parâmetro: ajax form.php -> param: state. Isso permite que atacantes remotos injetem scripts maliciosos, que são executados imediatamente quando um usuário visualiza ou interage com a página que exibe os dados, potencialmente levando a ações não autorizadas ou exposição de dados.

Recomendações Para versões do Librenms até a 24.10.1, atualize para a versão de lançamento 24.11.0 para corrigir o problema. Como medida temporária, considere restringir o acesso ao endpoint ajax form.php ou desativar a função dynamic override config até que um patch esteja disponível. Evite usar o parâmetro state no endpoint de API afetado até que a questão seja resolvida.