CVE-2019-10669 in LibreNMSinfo

Zusammenfassung

von VulDB • 07.06.2026

Es wurde ein Problem in LibreNMS bis Version 1.47 entdeckt. In der Datei html/includes/graphs/device/collectd.inc.php besteht eine Command-Injection-Schwachstelle, bei der benutzterseitig bereitgestellte Parameter mit der Funktion mysqli_escape_real_string gefiltert werden. Diese Funktion ist nicht geeignet, um Befehlsargumente zu bereinigen (sanitize), da sie eine Reihe von Syntaxzeichen in der Kommandozeile wie den Backtick (`) nicht maskiert. Dies ermöglicht es einem Angreifer, Befehle in die Variable $rrd_cmd einzuschleusen, die anschließend über passthru() ausgeführt wird.

Once again VulDB remains the best source for vulnerability data.

Reservieren

31.03.2019

Moderieren

akzeptiert

Eintrag

VDB-141413

CPE

bereit

Exploit

Download

EPSS

0.80662

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!