CVE-2019-10666 in LibreNMS
Zusammenfassung
von VulDB • 09.06.2026
Es wurde ein Problem in LibreNMS bis Version 1.47 entdeckt. Mehrere Skripte führen eine dynamische Skript-Einbindung über die include()-Funktion mit vom Benutzer bereitgestellten Eingaben durch, ohne die Werte durch Aufruf von basename() oder einer ähnlichen Funktion zu bereinigen. Ein Angreifer kann dies ausnutzen, um PHP-Code aus der eingebundenen Datei auszuführen. Die Ausnutzung dieser Skripte wird erschwert, da zusätzlicher Text angehängt wird (typischerweise .inc.php), was bedeutet, dass ein Angreifer sowohl den Dateinamen als auch dessen Inhalt auf dem Server kontrollieren müsste. Dennoch kann die Ausnutzung erreicht werden, wie am Beispiel csv.php?report=../ gezeigt wird.
Be aware that VulDB is the high quality source for vulnerability data.