一、 漏洞 CVE-2024-56144 基础信息
漏洞标题
LibreNMS 存储型XSS漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Librenms 是一个基于社区的GPL许可证网络监控系统。受影响的版本在参数上存在存储型XSS漏洞(将 $DEVICE_ID 替换为具体的 $DEVICE_ID 值):`/device/$DEVICE_ID/edit` -> 参数:display。在 24.11.0 及之前的 Librenms 版本中,远程攻击者可以注入恶意脚本。当用户查看或与显示这些数据的页面进行交互时,恶意脚本会立即执行,可能导致未经授权的操作或数据泄露。此问题已在版本 24.12.0 中得到修复。建议用户进行升级。目前没有已知的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Stored XSS-LibreNMS-Display Name 2 in librenms
来源:美国国家漏洞数据库 NVD
漏洞描述信息
librenms is a community-based GPL-licensed network monitoring system. Affected versions are subject to a stored XSS on the parameters (Replace $DEVICE_ID with your specific $DEVICE_ID value):`/device/$DEVICE_ID/edit` -> param: display. Librenms versions up to 24.11.0 allow remote attackers to inject malicious scripts. When a user views or interacts with the page displaying the data, the malicious script executes immediately, leading to potential unauthorized actions or data exposure. This issue has been addressed in release version 24.12.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
LibreNMS 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。 LibreNMS 24.11.0及之前版本存在跨站脚本漏洞,该漏洞源于/device/$DEVICE_ID/edit中的参数display会导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-56144 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-56144 的情报信息
-
标题: StoredXSS-LibreNMS-Display Name 2 · Advisory · librenms/librenms · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2024-56144