CVE-2026-26988: Kritische SQL-Injection-Lücke in LibreNMS Netzwerk-Monitoring-Tool
⚠️ CVE-Referenzen:
CVE-2026-26988
Zusammenfassung
Eine kritische SQL-Injection-Schwachstelle in der Version 25.12.0 und älter des PHP/MySQL-basierten Netzwerk-Monitoring-Tools LibreNMS ermöglicht Angreifern den Zugriff auf und die Manipulation von Datenbankinhalten. Die Lücke betrifft die ajax_table.php-Schnittstelle und entsteht durch mangelhafte Eingabevalidierung von IPv6-Adressen. Zum Glück wurde das Problem in Version 26.2.0 behoben, also Zeit für ein Update, bevor hier wieder irgendwelche Scriptkiddies Schindluder treiben.
LibreNMS is an auto-discovering PHP/MySQL/SNMP based network monitoring tool. Versions 25.12.0 and below contain an SQL Injection vulnerability in the ajax_table.php endpoint. The application fails to properly sanitize or parameterize user input when processing IPv6 address searches. Specifically, the address parameter is split into an address and a prefix, and the prefix portion is directly concatenated into the SQL query string without validation. This allows an attacker to inject arbitrary SQL commands, potentially leading to unauthorized data access or database manipulation. This issue has been fixed in version 26.2.0.
Quelle: app.opencve.io