CVE-2026-30480: LibreNMS 本地文件包含 (LFI) 漏洞总结 漏洞概述 漏洞类型:本地文件包含 (LFI) / 路径穿越 (Path Traversal) 受影响组件:LibreNMS 的 NFSen 模块 ( ) 漏洞原理: 参数直接拼接进 语句,仅通过 检查存在性,未对路径穿越字符( )进行过滤或白名单校验。 认证要求:需要认证用户权限。 影响范围 受影响版本:包含 NFSen 模块的 LibreNMS 版本(测试版本:22.11.0-23-gd091788f2)。 危害: 信息泄露:可包含并执行服务器上的任意 文件。 权限提升:低权限用户可访问管理员页面。 潜在 RCE:若攻击者能控制被包含文件的内容,可能导致远程代码执行。 修复方案 建议实施基于白名单的验证,或使用 剥离路径穿越字符。 推荐修复代码 (白名单机制): 替代修复代码 (路径剥离):** 概念验证 (POC) 利用路径穿越序列 包含 :