प्रभाव
LibreNMS संस्करण 24.9.1 और इससे पहले के संस्करण में एक भेद्यता है जो प्रमाणित उपयोगकर्ताओं को OS कमांड इंजेक्शन [S2] करने की अनुमति देती है। सफल शोषण वेब सर्वर उपयोगकर्ता [S1] के विशेषाधिकारों के साथ मनमाने आदेशों के निष्पादन को सक्षम बनाता है। इससे पूर्ण सिस्टम समझौता, संवेदनशील निगरानी डेटा तक अनधिकृत पहुंच और LibreNMS [S2] द्वारा प्रबंधित नेटवर्क बुनियादी ढांचे के भीतर संभावित पार्श्व आंदोलन हो सकता है।
मूल कारण
यह भेद्यता ऑपरेटिंग सिस्टम कमांड [S1] में शामिल होने से पहले उपयोगकर्ता द्वारा प्रदत्त इनपुट के अनुचित न्यूट्रलाइजेशन में निहित है। इस दोष को CWE-78 [S1] के रूप में वर्गीकृत किया गया है। प्रभावित संस्करणों में, विशिष्ट प्रमाणित समापन बिंदु सिस्टम-स्तरीय निष्पादन फ़ंक्शन [S2] को पास करने से पहले पैरामीटर को पर्याप्त रूप से मान्य या स्वच्छ करने में विफल होते हैं।
निवारण
इस समस्या को हल करने के लिए उपयोगकर्ताओं को अपने LibreNMS इंस्टॉलेशन को 24.10.0 या बाद के संस्करण [S2] में अपग्रेड करना चाहिए। एक सामान्य सुरक्षा सर्वोत्तम अभ्यास के रूप में, लिब्रेएनएमएस प्रशासनिक इंटरफ़ेस तक पहुंच फ़ायरवॉल या एक्सेस कंट्रोल लिस्ट (एसीएल) [S1] का उपयोग करके विश्वसनीय नेटवर्क सेगमेंट तक सीमित होनी चाहिए।
FixVibe इसका परीक्षण कैसे करता है
FixVibe में अब इसे GitHub रेपो स्कैन में शामिल किया गया है। चेक केवल अधिकृत रिपॉजिटरी निर्भरता फ़ाइलों को पढ़ता है, जिसमें composer.lock और composer.json शामिल हैं। यह librenms/librenms लॉक किए गए संस्करणों या बाधाओं को चिह्नित करता है जो प्रभावित रेंज <=24.9.1 से मेल खाते हैं, फिर निर्भरता फ़ाइल, लाइन नंबर, सलाहकार आईडी, प्रभावित रेंज और निश्चित संस्करण की रिपोर्ट करते हैं।
यह एक स्थिर, केवल पढ़ने योग्य रेपो जांच है। यह ग्राहक कोड निष्पादित नहीं करता है और शोषण पेलोड नहीं भेजता है।