从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 名称:Stored XSS ('Cross-site Scripting') in librenms/includes/html/pages/device-dependencies.inc.php - 严重性:高 - 发布者:murrant - 发布时间:昨天 2. 受影响版本: - 受影响版本:<= 24.7.0 - 已修复版本:24.9.0 3. 描述: - 漏洞类型:存储型跨站脚本攻击(XSS) - 影响:允许已登录用户通过设备名称("hostname" 参数)注入任意 JavaScript,可能导致其他用户会话中的恶意代码执行,从而泄露会话 cookie 或执行其他恶意操作。 4. 细节: - 攻击方式:在 LibreNMS 中创建设备时注入恶意 JavaScript。 - 攻击流程: 1. 注入恶意 JavaScript。 2. 另一个用户访问设备依赖页面时,恶意脚本执行。 3. 引导用户重定向到攻击者控制的网站。 - 代码示例: 5. PoC: - 步骤: 1. 添加新设备,使用特定的 payload。 2. 保存设备。 3. 访问设备依赖页面。 4. 观察注入的脚本执行,重定向到攻击者网站。 6. 影响: - 风险:允许已登录用户执行任意 JavaScript,可能导致会话泄露或执行未经授权的操作。 7. CVSS 分数: - 评分:7.5 / 10 - 详细评分: - 攻击向量:网络 - 攻击复杂性:低 - 权限要求:高 - 用户交互:要求 - 影响:高 - 可用性:低 8. CWE 编号:79 9. 报告者:RaphaelCSS - 发现者:RaphaelCSSilva 这些信息提供了关于漏洞的详细描述、影响范围、攻击方式和修复建议,有助于开发人员和安全团队了解和解决该安全问题。