More

    Kritične sigurnosne greške otkrivene u softveru za nadzor mreže Nagios XI

    U softveru za nadzor mreže Nagios XI otkriveno je više sigurnosnih nedostataka koji bi mogli dovesti do eskalacije privilegija i otkrivanja informacija.

    Četiri sigurnosna propusta, praćene od CVE-2023-40931 do CVE-2023-40934, utiču na Nagios XI verzije 5.11.1 i starije. Nakon odgovornog otkrivanja 4. avgusta 2023. godine, oni su zakrpljeni od 11. septembra 2023. godine, izdavanjem verzije 5.11.2.

    “Tri od ovih ranjivosti (CVE-2023-40931, CVE-2023-40933 i CVE-2023-40934) omogućavaju korisnicima, sa različitim nivoima privilegija, da pristupe poljima baze podataka putem SQL injekcija”, rekla je istraživačica Outpost24 Astrid Tedenbrant .

    “Podaci dobijeni iz ovih ranjivosti mogu se koristiti za dalje eskaliranje privilegija u proizvodu i dobijanje osjetljivih korisničkih podataka kao što su hešovi lozinki i API tokeni.”

    CVE-2023-40932 se, s druge strane, odnosi na cross-site scripting (XSS) u komponenti prilagođenog logotipa koja bi se mogla koristiti za čitanje osjetljivih podataka, uključujući lozinke otvorenog teksta sa stranice za prijavu.

    Lista nedostataka je opisana u nastavku –

    • CVE-2023-40931 – SQL injekcija u krajnjoj tački koja potvrđuje baner
    • CVE-2023-40932 – Cross-Site Scripting u komponenti prilagođenog logotipa
    • CVE-2023-40933 – SQL injekcija u postavkama banera najava
    • CVE-2023-40934 – SQL injekcija u eskalaciji hosta/usluge u Core Configuration Manager-u (CCM)

    Uspješno iskorištavanje tri ranjivosti SQL injekcije moglo bi dozvoliti autentifikovanom hakeru da izvrši proizvoljne SQL komande, dok bi se XSS greška mogla iskoristiti za ubacivanje proizvoljnog JavaScripta i čitanje i modifikovanje podataka stranice.

    Ovo nije prvi put da su sigurnosni problemi otkriveni u Nagiosu XI. Godine 2021. Skylight Cyber ​​i Claroty otkrili su čak dva tuceta nedostataka koji bi se mogli zloupotrijebiti za otmicu infrastrukture i postizanje daljinskog izvršavanja koda.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories