Търсене
Close this search box.

В софтуера за мрежово наблюдение Nagios XI са разкрити множество пропуски в сигурността, които могат да доведат до увеличаване на привилегиите и разкриване на информация.

Четирите уязвимости в сигурността, проследени от CVE-2023-40931 до CVE-2023-40934, засягат версии 5.11.1 и по-ниски на Nagios XI. След отговорното им разкриване на 4 август 2023 г., те са закърпени на 11 септември 2023 г., с пускането на версия 5.11.2.

„Три от тези уязвимости (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяват на потребители с различни нива на привилегии да получат достъп до полета на базата данни чрез SQL Injections“, заяви изследователят от Outpost24 Астрид Теденбрант.

„Данните, получени от тези уязвимости, могат да бъдат използвани за по-нататъшно увеличаване на привилегиите в продукта и за получаване на чувствителни потребителски данни, като например хешове на пароли и API токени.“

От друга страна, CVE-2023-40932 се отнася до дефект в XSS (cross-site scripting) в компонента Custom Logo, който може да се използва за четене на чувствителни данни, включително пароли с ясен текст от страницата за вход.

Списъкът с недостатъците е описан по-долу –

  • CVE-2023-40931 – SQL инжекция в крайната точка за потвърждаване на банери
  • CVE-2023-40932 – пресичане на сайтове в компонента Custom Logo
  • CVE-2023-40933 – SQL инжекция в настройките на банера за обявяване
  • CVE-2023-40934 – SQL Injection в Host/Service Escalation в Core Configuration Manager (CCM)

Успешното използване на трите уязвимости за инжектиране на SQL може да позволи на автентифициран нападател да изпълнява произволни SQL команди, докато грешката XSS може да бъде използвана за инжектиране на произволен JavaScript и четене и промяна на данни на страницата.

Това не е първият случай, в който се откриват проблеми със сигурността в Nagios XI. През 2021 г. Skylight Cyber и Claroty откриха цели две дузини недостатъци, с които може да се злоупотреби за превземане на инфраструктурата и постигане на отдалечено изпълнение на код.

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!