Impatt
Il-verżjonijiet tal-LibreNMS 24.9.1 u preċedenti fihom vulnerabbiltà li tippermetti lill-utenti awtentikati jwettqu injezzjoni tal-kmand tal-OS [S2]. L-isfruttament b'suċċess jippermetti l-eżekuzzjoni ta 'kmandi arbitrarji bil-privileġġi tal-utent tal-web server [S1]. Dan jista' jwassal għal kompromess sħiħ tas-sistema, aċċess mhux awtorizzat għal dejta sensittiva ta' monitoraġġ, u moviment laterali potenzjali fi ħdan l-infrastruttura tan-netwerk ġestita minn LibreNMS [S2].
Kawża Għerq
Il-vulnerabbiltà hija msejsa fin-newtralizzazzjoni mhux xierqa tal-input fornut mill-utent qabel ma jiġi inkorporat fi kmand tas-sistema operattiva [S1]. Dan id-difett huwa kklassifikat bħala CWE-78 [S1]. F'verżjonijiet affettwati, endpoints speċifiċi awtentikati jonqsu milli jivvalidaw jew sanitizzaw b'mod adegwat il-parametri qabel jgħadduhom lill-funzjonijiet ta' eżekuzzjoni fil-livell tas-sistema [S2].
Rimedju
L-utenti għandhom jaġġornaw l-installazzjoni tal-LibreNMS tagħhom għall-verżjoni 24.10.0 jew aktar tard biex isolvu din il-kwistjoni [S2]. Bħala l-aħjar prattika tas-sigurtà ġenerali, l-aċċess għall-interface amministrattiva LibreNMS għandu jkun ristrett għal segmenti ta’ netwerk fdati li jużaw firewalls jew listi ta’ kontroll tal-aċċess (ACLs) [S1].
Kif FixVibe jittestja għaliha
FixVibe issa jinkludi dan fi GitHub repo scans. Il-kontroll jaqra fajls awtorizzati tad-dipendenza tar-repożitorji biss, inklużi composer.lock u composer.json. Hija timmarka verżjonijiet msakkra librenms/librenms jew restrizzjonijiet li jaqblu mal-firxa affettwata <=24.9.1, imbagħad tirrapporta l-fajl tad-dipendenza, in-numru tal-linja, l-IDs konsultattivi, il-firxa affettwata, u l-verżjoni fissa.
Din hija verifika repo statika li tinqara biss. Ma jesegwixxix kodiċi tal-klijent u ma jibgħatx payloads ta' sfruttament.