PT-2024-8523 · Icinga+1 · Icinga 2+1
Fsteglich
·
Publicado
2024-10-22
·
Atualizado
2025-11-26
·
CVE-2024-49369
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Icinga 2, versões 2.4.0 a 2.11.12
Icinga 2, versões 2.12.0 a 2.12.11
Icinga 2, versões 2.13.0 a 2.13.10
Versões do Icinga 2 de 2.14.0 a 2.14.3
Descrição
O Icinga é um sistema de monitoramento usado para verificar a disponibilidade de recursos de rede, notificar usuários sobre interrupções e gerar relatórios de desempenho. Existe uma falha no processo de validação de certificados TLS em todas as versões do Icinga 2 a partir da 2.4.0. Isso permite que um invasor se faça passar por nós de cluster confiáveis e usuários da API que utilizam certificados de cliente TLS para autenticação, especificamente aqueles com o atributo
client cn definido. A vulnerabilidade pode permitir que um invasor contorne restrições de segurança e obtenha acesso não autorizado a informações confidenciais ou execute comandos arbitrários.Recomendações
Atualize para a versão 2.11.12 ou posterior do Icinga 2.
Atualize para a versão 2.12.11 ou posterior do Icinga 2.
Atualize para a versão 2.13.10 ou posterior do Icinga 2.
Atualize para a versão 2.14.3 ou posterior do Icinga 2.
Exploit
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Icinga 2