Covered by FixVibecritical

LibreNMS (CVE-2024-51092) ನಲ್ಲಿ ಕ್ರಿಟಿಕಲ್ ಓಎಸ್ ಕಮಾಂಡ್ ಇಂಜೆಕ್ಷನ್ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG1 LibreNMS ಆವೃತ್ತಿಗಳು <= 24.9.1 ದೃಢೀಕೃತ OS ಕಮಾಂಡ್ ಇಂಜೆಕ್ಷನ್‌ಗೆ (CVE-2024-51092) ಗುರಿಯಾಗುತ್ತವೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG2 24.9.1 ವರೆಗಿನ LibreNMS ಆವೃತ್ತಿಗಳು ನಿರ್ಣಾಯಕ OS ಕಮಾಂಡ್ ಇಂಜೆಕ್ಷನ್ ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುತ್ತವೆ (CVE-2024-51092). ದೃಢೀಕೃತ ದಾಳಿಕೋರರು ಅತಿಥೇಯ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು, ಇದು ಮೇಲ್ವಿಚಾರಣಾ ಮೂಲಸೌಕರ್ಯದ ಸಂಪೂರ್ಣ ರಾಜಿಗೆ ಸಂಭಾವ್ಯವಾಗಿ ಕಾರಣವಾಗುತ್ತದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG3 ## ಪರಿಣಾಮ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG4 LibreNMS ಆವೃತ್ತಿಗಳು 24.9.1 ಮತ್ತು ಹಿಂದಿನವು ದೃಢೀಕೃತ ಬಳಕೆದಾರರಿಗೆ OS ಕಮಾಂಡ್ ಇಂಜೆಕ್ಷನ್ CVE-2024-51092 ಅನ್ನು ನಿರ್ವಹಿಸಲು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುತ್ತವೆ. ಯಶಸ್ವಿ ಶೋಷಣೆಯು ವೆಬ್ ಸರ್ವರ್ ಬಳಕೆದಾರರ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ ZXCVFIXVIBETOKEN1ZXCV. ಇದು ಸಂಪೂರ್ಣ ಸಿಸ್ಟಮ್ ರಾಜಿ, ಸೂಕ್ಷ್ಮ ಮಾನಿಟರಿಂಗ್ ಡೇಟಾಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶ ಮತ್ತು LibreNMS ZXCVFIXVIBETOKEN2ZXCV ನಿರ್ವಹಿಸುವ ನೆಟ್‌ವರ್ಕ್ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಸಂಭಾವ್ಯ ಲ್ಯಾಟರಲ್ ಚಲನೆಗೆ ಕಾರಣವಾಗಬಹುದು. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG5 ## ಮೂಲ ಕಾರಣ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG6 ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಕಮಾಂಡ್ CVE-2024-51092 ಗೆ ಅಳವಡಿಸುವ ಮೊದಲು ಬಳಕೆದಾರ-ಸರಬರಾಜು ಮಾಡಿದ ಇನ್‌ಪುಟ್‌ನ ಅಸಮರ್ಪಕ ತಟಸ್ಥೀಕರಣದಲ್ಲಿ ದುರ್ಬಲತೆಯು ಬೇರೂರಿದೆ. ಈ ನ್ಯೂನತೆಯನ್ನು ZXCVFIXVIBETOKEN3ZXCV ZXCVFIXVIBETOKEN1ZXCV ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ. ಪೀಡಿತ ಆವೃತ್ತಿಗಳಲ್ಲಿ, ಸಿಸ್ಟಂ-ಲೆವೆಲ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಫಂಕ್ಷನ್‌ಗಳಿಗೆ ZXCVFIXVIBETOKEN2ZXCV ಅನ್ನು ರವಾನಿಸುವ ಮೊದಲು ನಿರ್ದಿಷ್ಟ ದೃಢೀಕೃತ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳು ಪ್ಯಾರಾಮೀಟರ್‌ಗಳನ್ನು ಸಮರ್ಪಕವಾಗಿ ಮೌಲ್ಯೀಕರಿಸಲು ಅಥವಾ ಸ್ಯಾನಿಟೈಜ್ ಮಾಡಲು ವಿಫಲವಾಗುತ್ತವೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG7 ## ಪರಿಹಾರ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG8 ಈ ಸಮಸ್ಯೆಯನ್ನು CVE-2024-51092 ಪರಿಹರಿಸಲು ಬಳಕೆದಾರರು ತಮ್ಮ LibreNMS ಸ್ಥಾಪನೆಯನ್ನು ಆವೃತ್ತಿ 24.10.0 ಅಥವಾ ನಂತರದ ಆವೃತ್ತಿಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಬೇಕು. ಸಾಮಾನ್ಯ ಭದ್ರತೆಯ ಉತ್ತಮ ಅಭ್ಯಾಸವಾಗಿ, ಫೈರ್‌ವಾಲ್‌ಗಳು ಅಥವಾ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಪಟ್ಟಿಗಳನ್ನು (ACLs) ZXCVFIXVIBETOKEN1ZXCV ಬಳಸಿಕೊಂಡು ವಿಶ್ವಾಸಾರ್ಹ ನೆಟ್‌ವರ್ಕ್ ವಿಭಾಗಗಳಿಗೆ LibreNMS ಆಡಳಿತಾತ್ಮಕ ಇಂಟರ್‌ಫೇಸ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಬೇಕು. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG9 ## CVE-2024-51092 ಹೇಗೆ ಪರೀಕ್ಷಿಸುತ್ತದೆ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG10 ZXCVFIXVIBETOKEN4ZXCV ಈಗ ಇದನ್ನು ZXCVFIXVIBETOKEN5ZXCV ರೆಪೋ ಸ್ಕ್ಯಾನ್‌ಗಳಲ್ಲಿ ಒಳಗೊಂಡಿದೆ. ಚೆಕ್ CVE-2024-51092 ಮತ್ತು ZXCVFIXVIBETOKEN1ZXCV ಸೇರಿದಂತೆ ಅಧಿಕೃತ ರೆಪೊಸಿಟರಿ ಅವಲಂಬನೆ ಫೈಲ್‌ಗಳನ್ನು ಮಾತ್ರ ಓದುತ್ತದೆ. ಇದು ZXCVFIXVIBETOKEN2ZXCV ಲಾಕ್ ಮಾಡಲಾದ ಆವೃತ್ತಿಗಳು ಅಥವಾ ಪೀಡಿತ ಶ್ರೇಣಿಯ ZXCVFIXVIBETOKEN3ZXCV ಗೆ ಹೊಂದಿಕೆಯಾಗುವ ನಿರ್ಬಂಧಗಳನ್ನು ಫ್ಲ್ಯಾಗ್ ಮಾಡುತ್ತದೆ, ನಂತರ ಅವಲಂಬನೆ ಫೈಲ್, ಲೈನ್ ಸಂಖ್ಯೆ, ಸಲಹಾ ಐಡಿಗಳು, ಪೀಡಿತ ಶ್ರೇಣಿ ಮತ್ತು ಸ್ಥಿರ ಆವೃತ್ತಿಯನ್ನು ವರದಿ ಮಾಡುತ್ತದೆ. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG11 ಇದು ಸ್ಥಿರ, ಓದಲು-ಮಾತ್ರ ರೆಪೊ ಚೆಕ್ ಆಗಿದೆ. ಇದು ಗ್ರಾಹಕ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದಿಲ್ಲ ಮತ್ತು ಶೋಷಣೆ ಪೇಲೋಡ್‌ಗಳನ್ನು ಕಳುಹಿಸುವುದಿಲ್ಲ.

LibreNMS versions up to 24.9.1 contain a critical OS command injection vulnerability (CVE-2024-51092). Authenticated attackers can execute arbitrary commands on the host system, potentially leading to total compromise of the monitoring infrastructure.

CVE-2024-51092GHSA-x645-6pf9-xwxwCWE-78

Impact

LibreNMS versions 24.9.1 and earlier contain a vulnerability that allows authenticated users to perform OS command injection [S2]. Successful exploitation enables the execution of arbitrary commands with the privileges of the web server user [S1]. This can lead to full system compromise, unauthorized access to sensitive monitoring data, and potential lateral movement within the network infrastructure managed by LibreNMS [S2].

Root Cause

The vulnerability is rooted in the improper neutralization of user-supplied input before it is incorporated into an operating system command [S1]. This flaw is classified as CWE-78 [S1]. In affected versions, specific authenticated endpoints fail to adequately validate or sanitize parameters before passing them to system-level execution functions [S2].

Remediation

Users should upgrade their LibreNMS installation to version 24.10.0 or later to resolve this issue [S2]. As a general security best practice, access to the LibreNMS administrative interface should be restricted to trusted network segments using firewalls or access control lists (ACLs) [S1].

How FixVibe tests for it

FixVibe now includes this in GitHub repo scans. The check reads authorized repository dependency files only, including composer.lock and composer.json. It flags librenms/librenms locked versions or constraints that match the affected range <=24.9.1, then reports the dependency file, line number, advisory IDs, affected range, and fixed version.

This is a static, read-only repo check. It does not execute customer code and does not send exploit payloads.