CVE-2025-54138

LibreNMS is an auto-discovering PHP/MySQL/SNMP based network monitoring which includes support for a wide range of network hardware and operating systems. LibreNMS versions 25.6.0 and below contain an architectural vulnerability in the ajax_form.php endpoint that permits Remote File Inclusion based on user-controlled POST input. The application directly uses the type parameter to dynamically include .inc.php files from the trusted path includes/html/forms/, without validation or allowlisting. This pattern introduces a latent Remote Code Execution (RCE) vector if an attacker can stage a file in this include path — for example, via symlink, development misconfiguration, or chained vulnerabilities. This is fixed in version 25.7.0.

CVSS v3 7.5 HIGH

7.5^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/librenms/librenms/commit/ec89714d929ef0cf2321957ed9198b0f18396c81
https://github.com/librenms/librenms/pull/17990
https://github.com/librenms/librenms/releases/tag/25.7.0
https://github.com/librenms/librenms/security/advisories/GHSA-gq96-8w38-hhj2

Configurations

No configuration.

History

25 Jul 2025, 15:29

Type	Values Removed	Values Added
Summary		(es) LibreNMS es un sistema de monitorización de red con autodescubrimiento basado en PHP/MySQL/SNMP, compatible con una amplia gama de hardware de red y sistemas operativos. Las versiones 25.6.0 y anteriores de LibreNMS contienen una vulnerabilidad arquitectónica en el endpoint ajax_form.php que permite la inclusión remota de archivos (.inc.php) mediante la entrada POST controlada por el usuario. La aplicación utiliza directamente el parámetro type para incluir dinámicamente archivos .inc.php desde la ruta de confianza `includes/html/forms/`, sin validación ni inclusión en la lista de permitidos. Este patrón introduce un vector latente de ejecución remota de código (RCE) si un atacante puede preparar un archivo en esta ruta de inclusión, por ejemplo, mediante un enlace simbólico, una configuración incorrecta en el desarrollo o vulnerabilidades encadenadas. Esto se ha corregido en la versión 25.7.0.

22 Jul 2025, 22:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-07-22 22:15

Updated : 2025-07-25 15:29

NVD link : CVE-2025-54138

Mitre link : CVE-2025-54138

CVE.ORG link : CVE-2025-54138

JSON object : View

Products Affected

No product.

CWE

CWE-98

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion')

7.5 /10