प्रभाव
LibreNMS संस्करण 24.9.1 र अघिल्लो मा एक जोखिम छ जसले प्रमाणीकृत प्रयोगकर्ताहरूलाई OS आदेश इंजेक्शन [S2] प्रदर्शन गर्न अनुमति दिन्छ। सफल शोषणले वेब सर्भर प्रयोगकर्ता [S1] को विशेषाधिकारहरूसँग मनमानी आदेशहरूको कार्यान्वयन सक्षम गर्दछ। यसले पूर्ण प्रणाली सम्झौता, संवेदनशील निगरानी डेटामा अनधिकृत पहुँच, र LibreNMS [S2] द्वारा व्यवस्थित नेटवर्क पूर्वाधार भित्र सम्भावित पार्श्व आन्दोलनको नेतृत्व गर्न सक्छ।
मूल कारण
अपरेटिङ सिस्टम कमाण्ड [S1] मा समाहित हुनु अघि प्रयोगकर्ता-आपूर्ति गरिएको इनपुटको अनुचित तटस्थतामा जोखिमको जरा रहेको छ। यो त्रुटि CWE-78 [S1] को रूपमा वर्गीकृत गरिएको छ। प्रभावित संस्करणहरूमा, विशिष्ट प्रमाणिकरण गरिएको अन्तबिन्दुहरूले तिनीहरूलाई प्रणाली-स्तर कार्यान्वयन कार्यहरू [S2] मा पास गर्नु अघि प्यारामिटरहरूलाई पर्याप्त रूपमा मान्य वा सेनिटाइज गर्न असफल हुन्छन्।
उपचार
प्रयोगकर्ताहरूले आफ्नो LibreNMS स्थापनालाई संस्करण 24.10.0 वा पछिको संस्करणमा अपग्रेड गर्नुपर्छ [S2] यो समस्या समाधान गर्न। सामान्य सुरक्षा उत्तम अभ्यासको रूपमा, LibreNMS प्रशासनिक इन्टरफेसमा पहुँच फायरवाल वा पहुँच नियन्त्रण सूची (ACLs) [S1] प्रयोग गरेर विश्वसनीय नेटवर्क खण्डहरूमा प्रतिबन्धित हुनुपर्छ।
कसरी FixVibe यसको लागि परीक्षण गर्दछ
FixVibe ले अब यसलाई GitHub रेपो स्क्यानहरूमा समावेश गर्दछ। चेकले composer.lock र composer.json सहित अधिकृत रिपोजिटरी निर्भरता फाइलहरू मात्र पढ्छ। यसले librenms/librenms लक गरिएका संस्करणहरू वा बाधाहरूलाई प्रभावित दायरा <=24.9.1 सँग मेल खान्छ, त्यसपछि निर्भरता फाइल, लाइन नम्बर, सल्लाहकार IDs, प्रभावित दायरा, र निश्चित संस्करण रिपोर्ट गर्दछ।
यो एक स्थिर, पढ्ने मात्र रिपो चेक हो। यसले ग्राहक कोड कार्यान्वयन गर्दैन र शोषण पेलोडहरू पठाउँदैन।