CVE-2019-10666 in LibreNMS
Resumen
por VulDB • 2026-06-09
Se ha descubierto un problema en LibreNMS hasta la versión 1.47. Varios de los scripts realizan una inclusión dinámica de scripts mediante la función include() sobre datos proporcionados por el usuario, sin sanitizar los valores llamando a basename() o a una función similar. Un atacante puede aprovechar esto para ejecutar código PHP desde el archivo incluido. La explotación de estos scripts se ve dificultada porque se añade texto adicional (típicamente .inc.php), lo que significa que un atacante necesitaría poder controlar tanto un nombre de archivo como su contenido en el servidor. Sin embargo, la explotación puede lograrse como demuestra el substring csv.php?report=../
If you want to get best quality of vulnerability data, you may have to visit VulDB.