CVE-2020-28911

Nagios Fusion versões 4.1.8 e anteriores

O problema está relacionado a um controle de acesso incorreto, permitindo que usuários autenticados com privilégios reduzidos extraiam senhas usadas para gerenciar servidores fusionados. Isso pode ser feito por meio do comando test server no arquivo ajaxhelper.php. A vulnerabilidade está associada ao armazenamento inseguro de informações confidenciais, que pode ser explorado por um invasor remoto para obter acesso às senhas dos usuários.

Para as versões 4.1.8 e anteriores do Nagios Fusion, considere desativar o comando test server no ajaxhelper.php como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso ao ajaxhelper.php para impedir que usuários com privilégios limitados extraiam informações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.