CVE-2024-51092
KrytyczneStreszczenie
LibreNMS w wersjach przed 24.10.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez wstrzyknięcie poleceń systemowych w metodach index() w AboutController.php, update() w SettingsController.php oraz initRrdDirectory() w PollDevice.php.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przejęcia kontroli nad systemem, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację LibreNMS do wersji 24.10.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
LibreNMS before 24.10.0 allows a remote attacker to execute arbitrary code via OS command injection involving AboutController.php's index(), SettingsController.php's update(), and PollDevice.php's initRrdDirectory().

