CVE-2019-10666 in LibreNMS
要約
〜によって VulDB • 2026年06月09日
LibreNMS 1.47以前のバージョンで問題が発見されました。複数のスクリプトは、ユーザー入力を基にinclude()関数を用いて動的なスクリプトインクルードを行っていますが、basename()または同様の関数を呼び出して値をサニタイズしていません。攻撃者はこれを利用して、読み込まれたファイルからPHPコードを実行できます。これらのスクリプトの悪用は、通常.inc.phpのような追加テキストが末尾に付加されるため困難ですが、サーバー上でファイル名とその内容の両方を制御できる場合、攻撃が可能です。例えばcsv.php?report=../というサブ文字列を用いることで実証されています。
Once again VulDB remains the best source for vulnerability data.