PT-2020-12440 · Centreon · Centreon Tactical-Overview Widget+2
Publicado
2020-05-27
·
Atualizado
2020-05-28
·
CVE-2020-10946
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do widget de monitoramento de hosts do Centreon anteriores às 1.6.4, 18.10.3, 19.04.3 e 19.0.1
Versões do widget de monitoramento de serviços do Centreon anteriores à 1.6.4, 18.10.5, 19.04.3 e 19.10.2
Versões do widget de visão geral tática do Centreon anteriores à 1.0.3, 18.10.1, 19.04.1 e 19.10.1
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores remotos injetem scripts web ou HTML arbitrários por meio do parâmetro
page em service-monitoring/src/index.php.Recomendações
Para as versões do widget Centreon host-monitoring anteriores à 1.6.4, 18.10.3, 19.04.3 e 19.0.1, atualize para a versão 1.6.4, 18.10.3, 19.04.3 ou 19.0.1.
Para versões do widget de monitoramento de serviços do Centreon anteriores à 1.6.4, 18.10.5, 19.04.3 e 19.10.2, atualize para a versão 1.6.4, 18.10.5, 19.04.3 ou 19.10.2.
Para versões do widget de visão geral tática do Centreon anteriores à 1.0.3, 18.10.1, 19.04.1 e 19.10.1, atualize para a versão 1.0.3, 18.10.1, 19.04.1 ou 19.10.1.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
service-monitoring/src/index.php até que um patch esteja disponível.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centreon Host-Monitoring Widget
Centreon Service-Monitoring Widget
Centreon Tactical-Overview Widget