اغیزې
د LibreNMS نسخې 24.9.1 او پخوانۍ یو زیان منونکي لري چې تصدیق شوي کاروونکو ته اجازه ورکوي چې د OS کمانډ انجیکشن [S2] ترسره کړي. بریالي استحصال د ویب سرور کارونکي [S1] امتیازاتو سره د خپلسري حکمونو اجرا کولو وړ کوي. دا کولی شي د بشپړ سیسټم جوړجاړی، د څارنې حساس معلوماتو ته غیر مجاز لاسرسي، او د شبکې زیربنا کې د لیبر این ایم ایس [S2] لخوا اداره شوي احتمالي اړخ حرکت لامل شي.
اصلي لامل
زیانمنتیا د کارونکي لخوا چمتو شوي آخذې ناسم بې طرفه کولو کې ریښه لري مخکې لدې چې دا په عملیاتي سیسټم کمانډ [S1] کې شامل شي. دا نیمګړتیا د CWE-78 [S1] په توګه طبقه بندي شوې. په اغیزمنو نسخو کې، ځانګړي تصدیق شوي پای ټکي د سیسټم کچې اجرا کولو فعالیتونو ته لیږدولو دمخه د پیرامیټونو په کافي ډول تایید یا پاکولو کې پاتې راځي [S2].
درملنه
کاروونکي باید د دې مسلې د حل کولو لپاره خپل LibreNMS انسټالشن 24.10.0 یا وروسته نسخه ته لوړ کړي [S2]. د عمومي امنیت غوره عمل په توګه، د LibreNMS اداري انٹرفیس ته لاسرسی باید د باور وړ شبکې برخو پورې محدود وي چې د فایر وال یا لاسرسي کنټرول لیستونو (ACLs) [S1] په کارولو سره.
څنګه FixVibe د دې لپاره ازموینه کوي
FixVibe اوس دا په GitHub ریپو سکینونو کې شامل دي. چک یوازې د مجاز ذخیره کولو انحصار فایلونه لوستل کوي ، پشمول composer.lock او composer.json. دا د librenms/librenms تړل شوي نسخې یا محدودیتونه بیرغ کوي چې د اغیزمن شوي رینج <=24.9.1 سره سمون لري، بیا د انحصار فایل، لاین شمیره، مشورتي IDs، اغیزمن شوي حد، او ثابت نسخه راپور ورکوي.
دا یو جامد، یوازې د لوستلو ریپو چیک دی. دا د پیرودونکي کوډ نه پلي کوي او د استحصال تادیه نه لیږي.