Epekto
Ang mga bersyon ng LibreNMS na 24.9.1 at mas nauna ay naglalaman ng kahinaan na nagbibigay-daan sa mga na-authenticate na user na magsagawa ng OS command injection [S2]. Ang matagumpay na pagsasamantala ay nagbibigay-daan sa pagpapatupad ng mga arbitrary na utos na may mga pribilehiyo ng gumagamit ng web server na [S1]. Maaari itong humantong sa ganap na kompromiso sa system, hindi awtorisadong pag-access sa sensitibong data ng pagsubaybay, at potensyal na paggalaw sa gilid sa loob ng imprastraktura ng network na pinamamahalaan ng LibreNMS [S2].
Root Cause
Nag-ugat ang kahinaan sa hindi wastong neutralisasyon ng input na ibinigay ng user bago ito isama sa isang command ng operating system na [S1]. Ang depektong ito ay inuri bilang CWE-78 [S1]. Sa mga apektadong bersyon, nabigo ang mga partikular na na-authenticate na endpoint na sapat na ma-validate o ma-sanitize ang mga parameter bago ipasa ang mga ito sa mga function ng pagpapatupad sa antas ng system na [S2].
Remediation
Dapat i-upgrade ng mga user ang kanilang pag-install ng LibreNMS sa bersyon 24.10.0 o mas bago upang malutas ang isyung ito [S2]. Bilang pangkalahatang pinakamahusay na kasanayan sa seguridad, ang pag-access sa administratibong interface ng LibreNMS ay dapat na limitado sa mga pinagkakatiwalaang segment ng network gamit ang mga firewall o mga listahan ng kontrol sa pag-access (ACL) [S1].
Paano sinusuri ito ng FixVibe
Kasama na ito sa FixVibe sa mga pag-scan ng repo ng GitHub. Ang tseke ay nagbabasa lamang ng mga awtorisadong repositoryong dependency file, kasama ang composer.lock at composer.json. Ibina-flag nito ang librenms/librenms na mga naka-lock na bersyon o mga hadlang na tumutugma sa apektadong hanay na <=24.9.1, pagkatapos ay iuulat ang dependency file, numero ng linya, advisory ID, apektadong saklaw, at nakapirming bersyon.
Ito ay isang static, read-only na repo check. Hindi ito nag-execute ng customer code at hindi nagpapadala ng mga exploit payload.