В софтуера за мрежово наблюдение Nagios XI са разкрити множество пропуски в сигурността, които могат да доведат до увеличаване на привилегиите и разкриване на информация.
Четирите уязвимости в сигурността, проследени от CVE-2023-40931 до CVE-2023-40934, засягат версии 5.11.1 и по-ниски на Nagios XI. След отговорното им разкриване на 4 август 2023 г., те са закърпени на 11 септември 2023 г., с пускането на версия 5.11.2.
„Три от тези уязвимости (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяват на потребители с различни нива на привилегии да получат достъп до полета на базата данни чрез SQL Injections“, заяви изследователят от Outpost24 Астрид Теденбрант.
„Данните, получени от тези уязвимости, могат да бъдат използвани за по-нататъшно увеличаване на привилегиите в продукта и за получаване на чувствителни потребителски данни, като например хешове на пароли и API токени.“
От друга страна, CVE-2023-40932 се отнася до дефект в XSS (cross-site scripting) в компонента Custom Logo, който може да се използва за четене на чувствителни данни, включително пароли с ясен текст от страницата за вход.
Списъкът с недостатъците е описан по-долу –
Успешното използване на трите уязвимости за инжектиране на SQL може да позволи на автентифициран нападател да изпълнява произволни SQL команди, докато грешката XSS може да бъде използвана за инжектиране на произволен JavaScript и четене и промяна на данни на страницата.
Това не е първият случай, в който се откриват проблеми със сигурността в Nagios XI. През 2021 г. Skylight Cyber и Claroty откриха цели две дузини недостатъци, с които може да се злоупотреби за превземане на инфраструктурата и постигане на отдалечено изпълнение на код.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.