Site icon Kiber.ba

Kritične sigurnosne greške otkrivene u softveru za nadzor mreže Nagios XI

Kritične sigurnosne greške otkrivene u softveru za nadzor mreže Nagios XI - Kiber.ba

Kritične sigurnosne greške otkrivene u softveru za nadzor mreže Nagios XI - Kiber.ba

U softveru za nadzor mreže Nagios XI otkriveno je više sigurnosnih nedostataka koji bi mogli dovesti do eskalacije privilegija i otkrivanja informacija.

Četiri sigurnosna propusta, praćene od CVE-2023-40931 do CVE-2023-40934, utiču na Nagios XI verzije 5.11.1 i starije. Nakon odgovornog otkrivanja 4. avgusta 2023. godine, oni su zakrpljeni od 11. septembra 2023. godine, izdavanjem verzije 5.11.2.

“Tri od ovih ranjivosti (CVE-2023-40931, CVE-2023-40933 i CVE-2023-40934) omogućavaju korisnicima, sa različitim nivoima privilegija, da pristupe poljima baze podataka putem SQL injekcija”, rekla je istraživačica Outpost24 Astrid Tedenbrant .

“Podaci dobijeni iz ovih ranjivosti mogu se koristiti za dalje eskaliranje privilegija u proizvodu i dobijanje osjetljivih korisničkih podataka kao što su hešovi lozinki i API tokeni.”

CVE-2023-40932 se, s druge strane, odnosi na cross-site scripting (XSS) u komponenti prilagođenog logotipa koja bi se mogla koristiti za čitanje osjetljivih podataka, uključujući lozinke otvorenog teksta sa stranice za prijavu.

Lista nedostataka je opisana u nastavku –

Uspješno iskorištavanje tri ranjivosti SQL injekcije moglo bi dozvoliti autentifikovanom hakeru da izvrši proizvoljne SQL komande, dok bi se XSS greška mogla iskoristiti za ubacivanje proizvoljnog JavaScripta i čitanje i modifikovanje podataka stranice.

Ovo nije prvi put da su sigurnosni problemi otkriveni u Nagiosu XI. Godine 2021. Skylight Cyber ​​i Claroty otkrili su čak dva tuceta nedostataka koji bi se mogli zloupotrijebiti za otmicu infrastrukture i postizanje daljinskog izvršavanja koda.

Izvor: The Hacker News

Exit mobile version