Impakt
LibreNMS Versiounen 24.9.1 a fréier enthalen eng Schwachstelle déi authentifizéiert Benotzer erlaabt OS Kommandoinjektioun [S2] auszeféieren. Erfollegräich Ausbeutung erméiglecht d'Ausféierung vun arbiträren Kommandoen mat de Privilegien vum Webserver Benotzer [S1]. Dëst kann zu engem komplette System Kompromëss féieren, onerlaabten Zougang zu sensiblen Iwwerwaachungsdaten, a potenziell lateral Bewegung bannent der Netzinfrastruktur geréiert vum LibreNMS [S2].
Root Ursaach
D'Schwachheet ass verwuerzelt an der falscher Neutraliséierung vum Benotzer geliwwertem Input ier se an e Betribssystembefehl [S1] integréiert gëtt. Dëse Feeler ass klasséiert als CWE-78 [S1]. A betraffene Versioune fäerten spezifesch authentifizéiert Endpunkte Parameteren adäquat ze validéieren oder ze desinfizéieren ier se op System-Niveau Ausféierungsfunktiounen [S2] weiderginn.
Sanéierung
D'Benotzer sollen hir LibreNMS Installatioun op Versioun 24.10.0 oder spéider upgraden fir dëst Thema [S2] ze léisen. Als allgemeng Sécherheet Best Praxis, Zougang zu der LibreNMS administrativ Interface soll op vertrauenswierdeg Reseau Segmenter benotzt Firewalls oder Zougang Kontroll Lëschte (ACLs) limitéiert ginn [S1].
Wéi FixVibe Tester fir et
FixVibe enthält dëst elo an GitHub Repo Scans. De Scheck liest nëmmen autoriséiert Repository Ofhängegkeet Dateien, dorënner composer.lock an composer.json. Et markéiert librenms/librenms gespaart Versiounen oder Aschränkungen, déi dem betraffene Beräich <=24.9.1 passen, mellt dann d'Ofhängegkeetsdatei, d'Linnnummer, d'Berodungs-IDen, d'betroffene Beräich a fixe Versioun.
Dëst ass e statesche, liesbare Repo Scheck. Et féiert kee Clientscode aus a schéckt keng Exploit Notzlaascht.