BDU:2024-02652

Опубликовано: 22 фев. 2023

Источник: fstec

CVSS3: 6.7

CVSS2: 7.1

EPSS Низкий

Описание

Уязвимость систем мониторинга сети OpenNMS Meridian и Horizon существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации о сеансе

Вендор

The OpenNMS Group

Наименование ПО

OpenNMS Horizon

OpenNMS Meridian

Версия ПО

до 31.0.4 (OpenNMS Horizon)

до 2023.1.0 (OpenNMS Meridian)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Обновление программного средства Meridian до версии 2023.1.0 и выше;

Обновление программного средства Horizon до версии 31.0.4 и выше.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-0846
CVE

EPSS

Процентиль: 52%

0.0029

Низкий

6.7 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

CVE-2023-0846

CVSS3: 6.7

nvd

почти 3 года назад

Unauthenticated, stored cross-site scripting in the display of alarm reduction keys in multiple versions of OpenNMS Horizon and Meridian could allow an attacker access to confidential session information. Users should upgrade to Meridian 2023.1.0 or newer, or Horizon 31.0.4. Meridian and Horizon installation instructions state that they are intended for installation within an organization's private networks and should not be directly accessible from the Internet.

GHSA-79jr-8fhm-8wv3

CVSS3: 6.1

github