PT-2021-22866 · Nagios Xi · Nagios Xi
Arianeblow
·
Publicado
2021-10-26
·
Atualizado
2022-11-08
·
CVE-2021-40345
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Nagios XI versão 5.8.5
Descrição
Foi detectada uma falha na seção “Gerenciar Dashlets” do painel de administração, onde um administrador pode fazer upload de arquivos ZIP. Uma injeção de comando, contida no nome do primeiro arquivo do pacote, permite que um invasor execute comandos do sistema.
Recomendações
Para o Nagios XI versão 5.8.5, considere restringir o acesso à seção Gerenciar Dashlets do painel de administração para minimizar o risco de exploração. Como solução temporária, evite fazer upload de arquivos ZIP até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nagios Xi