CVE-2019-10666 in LibreNMSinfo

Zusammenfassung

von VulDB • 09.06.2026

Es wurde ein Problem in LibreNMS bis Version 1.47 entdeckt. Mehrere Skripte führen eine dynamische Skript-Einbindung über die include()-Funktion mit vom Benutzer bereitgestellten Eingaben durch, ohne die Werte durch Aufruf von basename() oder einer ähnlichen Funktion zu bereinigen. Ein Angreifer kann dies ausnutzen, um PHP-Code aus der eingebundenen Datei auszuführen. Die Ausnutzung dieser Skripte wird erschwert, da zusätzlicher Text angehängt wird (typischerweise .inc.php), was bedeutet, dass ein Angreifer sowohl den Dateinamen als auch dessen Inhalt auf dem Server kontrollieren müsste. Dennoch kann die Ausnutzung erreicht werden, wie am Beispiel csv.php?report=../ gezeigt wird.

Be aware that VulDB is the high quality source for vulnerability data.

Reservieren

31.03.2019

Moderieren

akzeptiert

Eintrag

VDB-141410

CPE

bereit

EPSS

0.01224

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!