PT-2025-12972 · Icinga+1 · Icinga Reporting+1

Publicado

2025-03-26

Atualizado

2025-03-27

CVE-2025-27406

CVSS v3.1

7.6

Alta

Vetor

AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Icinga Reporting versões 0.10.0 até 1.0.2

Descrição Uma vulnerabilidade no Icinga Reporting permite que um invasor incorpore JavaScript arbitrário em um modelo. Isso permite que o invasor aja em nome do usuário quando o modelo é pré-visualizado e em nome do navegador headless quando um relatório utilizando o modelo é impresso em PDF.

Recomendações Para as versões 0.10.0 até 1.0.2, revise todos os modelos e remova configurações suspeitas como uma solução temporária. Atualize para a versão 1.0.3 para resolver o problema.

Exploit

Correção

SSRF

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918CWE-79

Identificadores relacionados

CVE-2025-27406

GHSA-7QVQ-54VM-R7HX

Produtos afetados

Debian

Icinga Reporting

PT-2025-12972 · Icinga+1 · Icinga Reporting+1

CVE-2025-27406

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 14