Alerta 2023-02 – Vulnerabilidades críticas en productos Nagios
Se han reportado vulnerabilidades críticas de tipo Inyección SQL que afectan al software de monitoreo de red Nagios XI, que podrían resultar en escalación de privilegios.
La lista de vulnerabilidades se describe a continuación:
- CVE-2023-40933– SQL Injection en la configuración del banner de anuncio con criticidad Alta con puntaje 8.8, permite a atacantes autenticados con privilegios de configuración de banners de anuncios ejecutar comandos SQL arbitrarios a través del parámetro ID enviado a la función update_banner_message().
- CVE-2023-40934– SQL Injection en la escalación de host/servicio en Core Configuration Manager (CCM) con criticidad Alta con puntaje 7.
- CVE-2023-40931– Inyección SQL en banner que reconoce el punto final con criticidad Media con puntaje 6.5. Permite a atacantes autenticados ejecutar comandos SQL arbitrarios a través del parámetro ID en la solicitud POST a /nagiosxi/admin/banner_message-ajaxhelper.php
- CVE-2023-40932– Cross-Site Scripting en el componente de logotipo personalizado con criticidad Media con puntaje 5.4. Permite a los atacantes autenticados con acceso al componente del logotipo personalizado inyectar javascript o HTML de su elección a través del campo de texto alternativo. Esto afecta a todas las páginas que contienen la barra de navegación, incluida la página de inicio de sesión, lo que significa que el atacante puede robar credenciales de texto sin formato.