CVE-2021-32739

Versões do Icinga 2.4.0 a 2.12.4

A vulnerabilidade diz respeito a um sistema de monitoramento que verifica a disponibilidade de recursos de rede e gera dados de desempenho. Ela pode permitir a escalada de privilégios para usuários autenticados da API. Com as credenciais de um usuário somente leitura, um invasor pode visualizar a maioria dos atributos dos objetos de configuração, incluindo o ticket salt do ApiListener. Essas informações são suficientes para calcular um ticket para cada nome comum possível, o que, juntamente com o certificado do nó mestre e um certificado autoassinado, pode ser usado para solicitar um certificado desejado do sistema. Esse certificado pode então ser usado para roubar a identidade de um endpoint ou de um usuário da API.

Para as versões 2.4.0 a 2.12.4, atualize para a versão 2.12.5 ou 2.11.10 para resolver o problema.

Como solução alternativa temporária, considere especificar explicitamente os tipos consultáveis ou filtrar objetos ApiListener para minimizar o risco de exploração.