Indvirkning
LibreNMS versioner 24.9.1 og tidligere indeholder en sårbarhed, der gør det muligt for godkendte brugere at udføre OS kommandoinjektion [S2]. Vellykket udnyttelse muliggør udførelse af vilkårlige kommandoer med privilegier fra webserverbrugeren [S1]. Dette kan føre til fuldstændig systemkompromis, uautoriseret adgang til følsomme overvågningsdata og potentiel lateral bevægelse inden for netværksinfrastrukturen, der administreres af LibreNMS [S2].
Grundårsag
Sårbarheden er rodfæstet i ukorrekt neutralisering af brugerleveret input, før det inkorporeres i en operativsystemkommando [S1]. Denne fejl er klassificeret som CWE-78 [S1]. I berørte versioner kan specifikke autentificerede slutpunkter ikke validere eller rense parametre tilstrækkeligt, før de overføres til udførelsesfunktionerne på systemniveau [S2].
Udbedring
Brugere bør opgradere deres LibreNMS-installation til version 24.10.0 eller nyere for at løse dette problem [S2]. Som en generel bedste praksis for sikkerhed bør adgang til LibreNMS administrative grænseflade begrænses til betroede netværkssegmenter ved hjælp af firewalls eller adgangskontrollister (ACL'er) [S1].
Hvordan FixVibe tester for det
FixVibe inkluderer nu dette i GitHub repo-scanninger. Kontrollen læser kun autoriserede lagerafhængighedsfiler, inklusive composer.lock og composer.json. Den markerer librenms/librenms låste versioner eller begrænsninger, der matcher det berørte område <=24.9.1, og rapporterer derefter afhængighedsfilen, linjenummeret, rådgivende ID'er, berørt område og fast version.
Dette er et statisk, skrivebeskyttet repo-tjek. Den udfører ikke kundekode og sender ikke udnyttede nyttelaster.