PT-2025-44465 · Nagios Enterprises · Nagios Xi+1
Matthew Aberegg
·
Publicado
2025-10-30
·
Atualizado
2025-10-30
·
CVE-2020-36859
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Nagios XI anteriores ao CCM 3.0.7
Versões do Nagios XI anteriores à 5.7.4
Descrição
O Core Config Manager (CCM) no Nagios XI possui múltiplas falhas de injeção de SQL presentes nas páginas de edição de objetos. A aplicação incorpora entrada não sanitizada fornecida pelo usuário em consultas SQL usadas pelos editores de objetos de configuração. A exploração bem-sucedida pode levar à divulgação ou modificação não autorizada de dados de configuração e da aplicação, e potencialmente a um comprometimento adicional da aplicação ou do banco de dados de backend. O problema afeta usuários autenticados.
Recomendações
Atualize para a versão 3.0.7 ou posterior do CCM.
Atualize para a versão 5.7.4 ou posterior do Nagios XI.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Core Config Manager
Nagios Xi