PT-2026-20905 · Librenms · Librenms
Quirmz
·
Publicado
2026-02-18
·
Atualizado
2026-02-25
·
CVE-2026-26990
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões 25.12.0 e anteriores do LibreNMS
Descrição
O LibreNMS é uma ferramenta de monitoramento de rede. Existe uma injeção SQL cega baseada em tempo no arquivo
address-search.inc.php por meio do parâmetro address. Fornecer um prefixo de sub-rede especialmente elaborado permite a manipulação da lógica da consulta SQL e a inferência de informações do banco de dados por meio de respostas condicionais baseadas em tempo. Isso requer autenticação e é explorável por qualquer usuário autenticado. O endpoint da API envolvido é address-search.inc.php. O parâmetro vulnerável é address.Recomendações
Atualize para a versão 26.2.0 ou posterior.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Librenms