CVE-2024-47524

LibreNMS is an open-source, PHP/MySQL/SNMP-based network monitoring system. User with Admin role can create a Device Groups, the application did not properly sanitize the user input in the Device Groups name, when user see the detail of the Device Group, if java script code is inside the name of the Device Groups, its will be trigger. This vulnerability is fixed in 24.9.0.

CVSS v3 7.2 HIGH

7.2^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/librenms/librenms/commit/d3b51560a8e2343e520d16e9adc72c6951aa91ee
https://github.com/librenms/librenms/security/advisories/GHSA-fc38-2254-48g7

Configurations

No configuration.

History

04 Oct 2024, 13:50

Type	Values Removed	Values Added
Summary		(es) LibreNMS es un sistema de monitoreo de red de código abierto basado en PHP/MySQL/SNMP. El usuario con rol de administrador puede crear un grupo de dispositivos, pero la aplicación no desinfectó correctamente la entrada del usuario en el nombre del grupo de dispositivos. Cuando el usuario ve los detalles del grupo de dispositivos, si el código de Java script está dentro del nombre del grupo de dispositivos, se activará. Esta vulnerabilidad se solucionó en la versión 24.9.0.

01 Oct 2024, 21:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-10-01 21:15

Updated : 2024-10-04 13:50

NVD link : CVE-2024-47524

Mitre link : CVE-2024-47524

CVE.ORG link : CVE-2024-47524

JSON object : View

Products Affected

No product.

CWE

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

7.2 /10