Inxección de comandos do sistema operativo crítico en LibreNMS (CVE-2024-51092) ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG1 As versións de LibreNMS <= 24.9.1 son vulnerables á inxección de comandos do SO autenticado (CVE-2024-51092). ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG2 As versións de LibreNMS ata 24.9.1 conteñen unha vulnerabilidade crítica de inxección de comandos do sistema operativo (CVE-2024-51092). Os atacantes autenticados poden executar comandos arbitrarios no sistema host, o que pode levar a un compromiso total da infraestrutura de vixilancia. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG3 ## Impacto ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG4 As versións 24.9.1 e anteriores de LibreNMS conteñen unha vulnerabilidade que permite aos usuarios autenticados realizar a inxección de comandos do sistema operativo CVE-2024-51092. A explotación exitosa permite a execución de comandos arbitrarios cos privilexios do usuario do servidor web ZXCVFIXVIBETOKEN1ZXCV. Isto pode provocar un compromiso total do sistema, o acceso non autorizado a datos de monitorización confidenciais e un posible movemento lateral dentro da infraestrutura de rede xestionada por LibreNMS ZXCVFIXVIBETOKEN2ZXCV. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG5 ## Causa raíz ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG6 A vulnerabilidade está enraizada na neutralización inadecuada da entrada proporcionada polo usuario antes de que se incorpore a un comando do sistema operativo CVE-2024-51092. Este fallo clasifícase como ZXCVFIXVIBETOKEN3ZXCV ZXCVFIXVIBETOKEN1ZXCV. Nas versións afectadas, os puntos finais autenticados específicos non validan nin desinfectan adecuadamente os parámetros antes de pasalos ás funcións de execución a nivel de sistema ZXCVFIXVIBETOKEN2ZXCV. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG7 ## Remediación ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG8 Os usuarios deben actualizar a súa instalación de LibreNMS á versión 24.10.0 ou posterior para resolver este problema CVE-2024-51092. Como boa práctica xeral de seguridade, o acceso á interface administrativa de LibreNMS debería restrinxirse aos segmentos de rede de confianza mediante cortalumes ou listas de control de acceso (ACL) ZXCVFIXVIBETOKEN1ZXCV. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG9 ## Como proba CVE-2024-51092 para iso ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG10 ZXCVFIXVIBETOKEN4ZXCV agora inclúe isto nas exploracións de repo ZXCVFIXVIBETOKEN5ZXCV. A comprobación le só os ficheiros de dependencia do repositorio autorizados, incluídos CVE-2024-51092 e ZXCVFIXVIBETOKEN1ZXCV. Marca as versións bloqueadas de ZXCVFIXVIBETOKEN2ZXCV ou as restricións que coinciden co intervalo afectado ZXCVFIXVIBETOKEN3ZXCV e, a continuación, informa do ficheiro de dependencia, o número de liña, os ID de asesoramento, o intervalo afectado e a versión fixa. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG11 Esta é unha comprobación de repositorio estática de só lectura. Non executa código de cliente e non envía cargas útiles de explotación.

LibreNMS versions up to 24.9.1 contain a critical OS command injection vulnerability (CVE-2024-51092). Authenticated attackers can execute arbitrary commands on the host system, potentially leading to total compromise of the monitoring infrastructure.