PT-2024-12979 · Undefined · Undefined

Published

2024-01-09

·

Updated

2024-01-09

·

CVE-2023-41809

None

No severity ratings or metrics are available. When they are, we'll update the corresponding info on the page.
NCC Group выпустила третье исследование с оценкой безопасности популярных инструментов RMM, в котором представила обзор на 18 уязвимостей в PandoraFMS.
Ранее в поле зрения исследователей попадали множественные уязвимости в Faronics Insight и Nagios XI.
PandoraFMS - это приложение для мониторинга и управления сетью масштаба предприятия, которое предоставляет системным администраторам центральный 'концентратор' для наблюдения за состоянием компьютеров (агентов), развернутых в сети.
Консоль PandoraFMS включает обширный набор функций с возможностью выполнять произвольные команды на компьютерах агентов, отслеживать процессы, загрузку ЦП, взаимодействовать через SNMP и обеспечивает прямое соединение SSH/telnet с агентами через индивидуальный интерфейс.
Основные проблемы, одна из которых имеет оценку 9.9 CVSS, лишь обозначим (все подробности по каждой подробно представлены в исследовании):
  • Неаутентифицированный захват учетной записи администратора с помощью резервных копий файлов журнала Cron (CVE-2023-4677)
  • Резервные копии базы данных доступны любому пользователю (CVE-2023-41786)
  • Удаленное выполнение кода через загрузчик файлов MIBS (CVE-2023-41788)
  • Неаутентифицированный захват учетной записи администратора с помощью вредоносного агента и XSS (CVE-2023-41789)
  • Произвольный файл, читаемый как root через страницу GoTTY (CVE-2023-41808)
  • Чтение произвольного файла с помощью средства проверки API (CVE-2023-41787)
  • Повышение локальных привилегий Linux через страницу GoTTY (CVE-2023-41807)
  • Обход пути в get file.php (CVE-2023-41790)
  • Сохранение межсайтовых сценариев через страницу редактора ловушек SNMP (CVE-2023-41792)
  • Сохраненный межсайтовый скриптинг из-за злоупотребления переводом (CVE-2023-41791)
  • Сохранение межсайтовых сценариев через поле комментариев профиля пользователя (CVE-2023-41809)
  • Отказ системы в обслуживании через страницу GoTTY (CVE-2023-41806)
  • Любой пользователь может изменить настройки уведомлений любого другого пользователя (CVE-2023-41813)
  • Файлы cookie устанавливаются без флага 'ТОЛЬКО HTTP' (CVE-2023-41793)
  • Установщик устанавливает MySQL со слабыми учетными данными (CVE еще не присвоены)
  • Сохранение межсайтовых сценариев через панель мониторинга (CVE-2023-41810)
  • Сохраненный межсайтовый скриптинг через страницу новостей сайта (CVE-2023-41811)
  • Учетные данные пользователя, записанные для доступа к входу в систему в виде открытого текста (CVE-2023-41794)
Все эти уязвимости были устранены в версиях v773, v774 и v775. Работа велась с конца июля, когда поставщику впервые сообщили о проблемах.
В назначенную на октябрь дату раскрытия информации, поставщик не смог управиться с разработкой исправлений, пообещав до конца 2023 все устранить, что и было сделано: 29 декабря PandoraFMS выпустила финальный патч.
Как отмечают в NCC Group, несмотря на итоги исследования, в целом уровень безопасности приложения является высоким, и были предприняты значительные усилия для устранения наиболее серьезных недостатков.

Related Identifiers

CVE-2023-41809

Affected Products

Undefined