Vulnerabilități critice în software-ul de monitorizare a rețelelor Nagios XI

Mai multe vulnerabilități au fost descoperite în cadrul software-ului de monitorizarea al rețelelor  Nagios XI, care ar putea duce la escaladarea privilegiilor și la divulgarea de informații.

Cele patru vulnerabilități, de la CVE-2023-40931 până la CVE-2023-40934, au impact asupra versiunilor 5.11.1 și cele anterioare ale lui Nagios XI. În urma publicării acestora la 4 august 2023, remedierea lor a avut loc începând cu 11 septembrie 2023, odată cu lansarea versiunii 5.11.2.

Trei dintre aceste vulnerabilități (CVE-2023-40931, CVE-2023-40933 și CVE-2023-40934) permit utilizatorilor, cu diferite privilegii, să acceseze câmpuri ale bazei de date prin SQL Injections.

Pe de altă parte, CVE-2023-40932 este o vulnerabilitate de tip cross-site scripting (XSS) în componenta Custom Logo, ce ar putea fi exploatată pentru a citi date sensibile, inclusiv parole în clar din pagina de logare.

Vulnerabilitățile identificate sunt:

CVE-2023-40931 – SQL Injection in Banner acknowledging endpoint;

CVE-2023-40932 – Cross-Site Scripting in Custom Logo Component;

CVE-2023-40933 – SQL Injection in Announcement Banner Settings;

CVE-2023-40934 – SQL Injection in Host/Service Escalation in the Core Configuration Manager (CCM).

Exploatarea cu succes a celor trei vulnerabilități SQL injection ar putea permite unui atacator autentificat să execute comenzi SQL arbitrare, în timp ce vulnerabilitatea XSS ar putea fi exploatată pentru a injecta comenzi JavaScript arbitrar și pentru a citi și modifica datele paginii.

Sursă: https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html