PT-2024-20587 · Icinga+2 · Icinga Director+4
Jason0X90
·
Publicado
2024-02-08
·
Atualizado
2025-08-21
·
CVE-2024-24820
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões 1.x do Icinga Director
Versões 1.8 a 1.11 do Icinga Director
Descrição
O Icinga Director é uma ferramenta projetada para facilitar o gerenciamento da configuração do Icinga 2. Nenhum dos formulários de configuração do Icinga Director utilizados para manipular o ambiente de monitoramento está protegido contra falsificação de solicitação entre sites (CSRF). Isso permite que invasores realizem alterações no ambiente de monitoramento gerenciado pelo Icinga Director sem o conhecimento da vítima. Os usuários do módulo de mapas na versão 1.x devem atualizar imediatamente para a v2.0. As vulnerabilidades XSS mencionadas no Icinga Web também já foram corrigidas, e as atualizações para a versão mais recente dos ramos 2.9, 2.10 ou 2.11 devem ser realizadas, caso ainda não tenham sido feitas.
Recomendações
Para as versões 1.x do Icinga Director, atualize imediatamente para a v2.0.
Para as versões 1.8 a 1.11 do Icinga Director, atualize para uma versão corrigida.
Se a atualização não for viável, desative o módulo director por enquanto.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Icinga 2
Icinga Director
Icinga Web