В программном обеспечении для мониторинга сети Nagios XI были выявлены многочисленные недостатки безопасности, которые могут привести к повышению привилегий и раскрытию информации.
Четыре уязвимости безопасности, отслеживаемые с CVE-2023-40931 по CVE-2023-40934, влияют на Nagios XI версий 5.11.1 и ниже. После ответственного раскрытия 4 августа 2023 года, они были исправлены с 11 сентября 2023 года с выпуском версии 5.11.2.
"Три из этих уязвимостей (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяют пользователям с различными уровнями привилегий получать доступ к полям базы данных с помощью SQL-инъекций", - сказала исследователь Outpost24 Астрид Теденбрант.
"Данные, полученные в результате этих уязвимостей, могут быть использованы для дальнейшего повышения привилегий в продукте и получения конфиденциальных пользовательских данных, таких как хэши паролей и токены API".
CVE-2023-40932, с другой стороны, относится к ошибке межсайтового скриптинга (XSS) в компоненте пользовательского логотипа, который может использоваться для считывания конфиденциальных данных, включая пароли в открытом виде со страницы входа.
Список недостатков описан ниже -
Это не первый случай, когда в Nagios XI обнаруживаются проблемы безопасности. В 2021 году Skylight Cyber и Claroty обнаружили целых два десятка недостатков, которыми можно было воспользоваться для взлома инфраструктуры и достижения удаленного выполнения кода.
Четыре уязвимости безопасности, отслеживаемые с CVE-2023-40931 по CVE-2023-40934, влияют на Nagios XI версий 5.11.1 и ниже. После ответственного раскрытия 4 августа 2023 года, они были исправлены с 11 сентября 2023 года с выпуском версии 5.11.2.
"Три из этих уязвимостей (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяют пользователям с различными уровнями привилегий получать доступ к полям базы данных с помощью SQL-инъекций", - сказала исследователь Outpost24 Астрид Теденбрант.
"Данные, полученные в результате этих уязвимостей, могут быть использованы для дальнейшего повышения привилегий в продукте и получения конфиденциальных пользовательских данных, таких как хэши паролей и токены API".
CVE-2023-40932, с другой стороны, относится к ошибке межсайтового скриптинга (XSS) в компоненте пользовательского логотипа, который может использоваться для считывания конфиденциальных данных, включая пароли в открытом виде со страницы входа.
Список недостатков описан ниже -
- CVE-2023-40931 - Внедрение SQL в конечную точку подтверждения баннера
- CVE-2023-40932 - Межсайтовый скриптинг в компоненте пользовательского логотипа
- CVE-2023-40933 - Внедрение SQL в настройки баннера объявления
- CVE-2023-40934 - Внедрение SQL при эскалации хоста / службы в Core Configuration Manager (CCM)
Это не первый случай, когда в Nagios XI обнаруживаются проблемы безопасности. В 2021 году Skylight Cyber и Claroty обнаружили целых два десятка недостатков, которыми можно было воспользоваться для взлома инфраструктуры и достижения удаленного выполнения кода.