Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en LibreNMS (CVE-2024-47528)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
01/10/2024
Última modificación:
19/12/2024

Descripción

LibreNMS es un sistema de monitoreo de red de código abierto basado en PHP/MySQL/SNMP. Se puede lograr el Cross-Site Scripting (XSS) Almacenado cargando un nuevo fondo para un mapa personalizado. Los usuarios con rol de "administrador" pueden configurar el fondo para un mapa personalizado, lo que permite cargar un archivo SVG que puede contener un payload XSS que se activará al cargar. Esto llevó a la creación de Cross-Site Scripting (XSS) almacenado. La vulnerabilidad se solucionó en 24.9.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:librenms:librenms:*:*:*:*:*:*:*:* 24.9.0 (excluyendo)