Търсене
Close this search box.

Разкрити критични недостатъци на Nagios XI

В софтуера за мрежово наблюдение Nagios XI са разкрити множество пропуски в сигурността, които могат да доведат до увеличаване на привилегиите и разкриване на информация.

Четирите уязвимости в сигурността, проследени от CVE-2023-40931 до CVE-2023-40934, засягат версии 5.11.1 и по-ниски на Nagios XI. След отговорното им разкриване на 4 август 2023 г., те са закърпени на 11 септември 2023 г., с пускането на версия 5.11.2.

„Три от тези уязвимости (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяват на потребители с различни нива на привилегии да получат достъп до полета на базата данни чрез SQL Injections“, заяви изследователят от Outpost24 Астрид Теденбрант.

„Данните, получени от тези уязвимости, могат да бъдат използвани за по-нататъшно увеличаване на привилегиите в продукта и за получаване на чувствителни потребителски данни, като например хешове на пароли и API токени.“

От друга страна, CVE-2023-40932 се отнася до дефект в XSS (cross-site scripting) в компонента Custom Logo, който може да се използва за четене на чувствителни данни, включително пароли с ясен текст от страницата за вход.

Списъкът с недостатъците е описан по-долу –

  • CVE-2023-40931 – SQL инжекция в крайната точка за потвърждаване на банери
  • CVE-2023-40932 – пресичане на сайтове в компонента Custom Logo
  • CVE-2023-40933 – SQL инжекция в настройките на банера за обявяване
  • CVE-2023-40934 – SQL Injection в Host/Service Escalation в Core Configuration Manager (CCM)

Успешното използване на трите уязвимости за инжектиране на SQL може да позволи на автентифициран нападател да изпълнява произволни SQL команди, докато грешката XSS може да бъде използвана за инжектиране на произволен JavaScript и четене и промяна на данни на страницата.

Това не е първият случай, в който се откриват проблеми със сигурността в Nagios XI. През 2021 г. Skylight Cyber и Claroty откриха цели две дузини недостатъци, с които може да се злоупотреби за превземане на инфраструктурата и постигане на отдалечено изпълнение на код.

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!