CVE-2019-10666 in LibreNMS
Riassunto
di VulDB • 23/06/2026
È stato rilevato un problema in LibreNMS fino alla versione 1.47. Diversi script eseguono l'inclusione dinamica di script tramite la funzione include() su input forniti dall'utente, senza sanificare i valori chiamando basename() o una funzione simile. Un attaccante può sfruttare questa vulnerabilità per eseguire codice PHP dal file incluso. Lo sfruttamento di questi script è reso più difficile dal fatto che viene aggiunto del testo aggiuntivo (tipicamente .inc.php), il che significa che un attaccante dovrebbe essere in grado di controllare sia il nome del file che il suo contenuto sul server. Tuttavia, lo sfruttamento può essere ottenuto come dimostrato dalla sottostringa csv.php?report=../
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.