В софтуера за мрежово наблюдение Nagios XI са разкрити множество пропуски в сигурността, които могат да доведат до увеличаване на привилегиите и разкриване на информация.

Четирите уязвимости в сигурността, проследени от CVE-2023-40931 до CVE-2023-40934, засягат версии 5.11.1 и по-ниски на Nagios XI. След отговорното им разкриване на 4 август 2023 г., те са закърпени на 11 септември 2023 г., с пускането на версия 5.11.2.

„Три от тези уязвимости (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяват на потребители с различни нива на привилегии да получат достъп до полета на базата данни чрез SQL Injections“, заяви изследователят от Outpost24 Астрид Теденбрант.

„Данните, получени от тези уязвимости, могат да бъдат използвани за по-нататъшно увеличаване на привилегиите в продукта и за получаване на чувствителни потребителски данни, като например хешове на пароли и API токени.“

От друга страна, CVE-2023-40932 се отнася до дефект в XSS (cross-site scripting) в компонента Custom Logo, който може да се използва за четене на чувствителни данни, включително пароли с ясен текст от страницата за вход.

Списъкът с недостатъците е описан по-долу –

• CVE-2023-40931 – SQL инжекция в крайната точка за потвърждаване на банери
• CVE-2023-40932 – пресичане на сайтове в компонента Custom Logo
• CVE-2023-40933 – SQL инжекция в настройките на банера за обявяване
• CVE-2023-40934 – SQL Injection в Host/Service Escalation в Core Configuration Manager (CCM)

Успешното използване на трите уязвимости за инжектиране на SQL може да позволи на автентифициран нападател да изпълнява произволни SQL команди, докато грешката XSS може да бъде използвана за инжектиране на произволен JavaScript и четене и промяна на данни на страницата.

Това не е първият случай, в който се откриват проблеми със сигурността в Nagios XI. През 2021 г. Skylight Cyber и Claroty откриха цели две дузини недостатъци, с които може да се злоупотреби за превземане на инфраструктурата и постигане на отдалечено изпълнение на код.