PT-2021-3329 · Nagios Xi · Nagios Xi
Publicado
2021-06-07
·
Atualizado
2021-06-15
·
CVE-2021-3277
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Nagios XI versões 5.7.5 e anteriores
Descrição
O problema está relacionado ao upload ilimitado de arquivos de tipos perigosos na ferramenta de monitoramento Nagios XI. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. A vulnerabilidade se deve à validação inadequada da funcionalidade de renomeação no componente custom-includes, o que permite que administradores autenticados enviem arquivos arbitrários, podendo levar à execução remota de código por meio do upload de arquivos php.
Recomendações
Para as versões 5.7.5 e anteriores do Nagios XI, considere restringir o acesso ao componente custom-includes para minimizar o risco de exploração. Como solução temporária, evite usar a funcionalidade de renomeação no componente custom-includes até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nagios Xi