impak
LibreNMS weergawes 24.9.1 en vroeër bevat 'n kwesbaarheid wat geverifieerde gebruikers toelaat om OS-opdraginspuiting [S2] uit te voer. Suksesvolle uitbuiting maak die uitvoering van arbitrêre opdragte moontlik met die voorregte van die webbedienergebruiker [S1]. Dit kan lei tot volledige stelselkompromie, ongemagtigde toegang tot sensitiewe moniteringsdata en potensiële laterale beweging binne die netwerkinfrastruktuur wat deur LibreNMS [S2] bestuur word.
Oorsaak
Die kwesbaarheid is gewortel in die onbehoorlike neutralisering van gebruikerverskafde insette voordat dit in 'n bedryfstelselopdrag [S1] geïnkorporeer word. Hierdie fout word geklassifiseer as CWE-78 [S1]. In geaffekteerde weergawes versuim spesifieke geverifieerde eindpunte om parameters voldoende te bekragtig of te ontsmet voordat dit na stelselvlakuitvoeringsfunksies [S2] oorgedra word.
Remediëring
Gebruikers moet hul LibreNMS-installasie opgradeer na weergawe 24.10.0 of later om hierdie probleem op te los [S2]. As 'n algemene beste praktyk vir sekuriteit, moet toegang tot die LibreNMS administratiewe koppelvlak beperk word tot betroubare netwerksegmente wat brandmure of toegangsbeheerlyste (ACL's) [S1] gebruik.
Hoe FixVibe daarvoor toets
FixVibe sluit dit nou by GitHub repo-skanderings in. Die tjek lees slegs gemagtigde bewaarplekafhanklikheidlêers, insluitend composer.lock en composer.json. Dit vlag librenms/librenms-geslote weergawes of beperkings wat ooreenstem met die geaffekteerde reeks <=24.9.1, en rapporteer dan die afhanklikheidlêer, lynnommer, advies-ID's, geaffekteerde reeks en vaste weergawe.
Dit is 'n statiese, leesalleen repo-tjek. Dit voer nie kliëntkode uit nie en stuur nie ontginningsloonvragte nie.