CVE-2026-26991

Nome do Software Vulnerável e Versões Afetadas Versões do LibreNMS 26.1.1 e anteriores

Descrição O LibreNMS, uma ferramenta de monitoramento de rede baseada em PHP/MySQL/SNMP com descoberta automática, contém uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado. O nome do grupo de dispositivos não é sanitizado, permitindo que invasores com privilégios de administrador injetem scripts maliciosos. A vulnerabilidade ocorre ao adicionar um grupo de dispositivos via uma requisição HTTP POST para o endpoint '/device-groups', onde a entrada controlada pelo invasor é armazenada no parâmetro name. Esta entrada não sanitizada é então exibida, potencialmente executando o script injetado quando um usuário interage com a entrada do grupo de dispositivos, como ao clicar no botão Excluir. O problema está presente porque o nome do dispositivo é usado na funcionalidade do botão Excluir sem a sanitização adequada para caracteres ou strings relacionados a XSS. Uma prova de conceito demonstra que um invasor pode vazar os cookies de um usuário criando um payload malicioso e enviando uma requisição HTTP para um servidor controlado pelo invasor.

Recomendações Atualize para a versão 26.2.0 ou posterior.