PT-2022-6524 · Icinga · Icinga Web 2
Thomas-Chauchefoin-Sonarsource
·
Publicado
2022-02-10
·
Atualizado
2023-04-10
·
CVE-2022-24716
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Icinga Web 2 anteriores à 2.9.6 e à 2.10
Descrição
A vulnerabilidade permite que usuários não autenticados divulguem o conteúdo de arquivos no sistema local acessíveis ao usuário do servidor web, incluindo arquivos de configuração do
icingaweb2 com credenciais de banco de dados. Isso se deve a restrições insuficientes de nomes de caminho na estrutura PHP. Um invasor pode explorar isso para executar código arbitrário remotamente.Recomendações
Para versões anteriores à 2.9.6, atualize para a versão 2.9.6 ou posterior.
Para versões anteriores à 2.10, atualize para a versão 2.10 ou posterior.
Como medida geral, alterne as credenciais do banco de dados para minimizar os danos potenciais decorrentes do vazamento de credenciais.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Icinga Web 2