##Impact Les versions 24.9.1 et antérieures de LibreNMS contiennent une vulnérabilité qui permet aux utilisateurs authentifiés d'effectuer une injection de commandes du système d'exploitation [S2]. Une exploitation réussie permet l'exécution de commandes arbitraires avec les privilèges de l'utilisateur du serveur Web [S1]. Cela peut conduire à une compromission complète du système, à un accès non autorisé aux données de surveillance sensibles et à un mouvement latéral potentiel au sein de l'infrastructure réseau gérée par LibreNMS [S2].
Cause première
La vulnérabilité trouve son origine dans la neutralisation inappropriée des entrées fournies par l'utilisateur avant qu'elles ne soient incorporées dans une commande du système d'exploitation [S1]. Cette faille est classée CWE-78 [S1]. Dans les versions concernées, des points de terminaison authentifiés spécifiques ne parviennent pas à valider ou à nettoyer correctement les paramètres avant de les transmettre aux fonctions d'exécution au niveau du système [S2].
Correction
Les utilisateurs doivent mettre à niveau leur installation LibreNMS vers la version 24.10.0 ou ultérieure pour résoudre ce problème [S2]. En tant que bonne pratique générale de sécurité, l'accès à l'interface d'administration LibreNMS doit être limité aux segments de réseau approuvés à l'aide de pare-feu ou de listes de contrôle d'accès (ACL) [S1].
Comment FixVibe le teste
FixVibe l'inclut désormais dans les analyses de dépôt GitHub. La vérification lit uniquement les fichiers de dépendance du référentiel autorisés, notamment composer.lock et composer.json. Il signale les versions verrouillées de librenms/librenms ou les contraintes qui correspondent à la plage affectée <=24.9.1, puis signale le fichier de dépendance, le numéro de ligne, les ID d'avis, la plage affectée et la version corrigée.
Il s'agit d'une vérification de dépôt statique en lecture seule. Il n'exécute pas de code client et n'envoie pas de charges utiles d'exploit.