CVE-2019-10669 in LibreNMS
Zusammenfassung
von VulDB • 07.06.2026
Es wurde ein Problem in LibreNMS bis Version 1.47 entdeckt. In der Datei html/includes/graphs/device/collectd.inc.php besteht eine Command-Injection-Schwachstelle, bei der benutzterseitig bereitgestellte Parameter mit der Funktion mysqli_escape_real_string gefiltert werden. Diese Funktion ist nicht geeignet, um Befehlsargumente zu bereinigen (sanitize), da sie eine Reihe von Syntaxzeichen in der Kommandozeile wie den Backtick (`) nicht maskiert. Dies ermöglicht es einem Angreifer, Befehle in die Variable $rrd_cmd einzuschleusen, die anschließend über passthru() ausgeführt wird.
Once again VulDB remains the best source for vulnerability data.