Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04478

Опубликовано: 10 июн. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Высокий

Описание

Уязвимость функции updateServiceHost программного обеспечения для мониторинга ИТ-инфраструктуры Centreon связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Centreon

Наименование ПО

Centreon

Версия ПО

до 22.04.24 (Centreon)
до 22.10.22 (Centreon)
до 23.04.18 (Centreon)
до 23.10.12 (Centreon)
до 24.04.0 (Centreon)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций производителя:
https://docs.centreon.com/docs/22.10/installation/download/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.80634
Высокий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-5723

CVSS3: 8.8
nvd
больше 1 года назад

Centreon updateServiceHost SQL Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Centreon. Authentication is required to exploit this vulnerability. The specific flaw exists within the updateServiceHost function. The issue results from the lack of proper validation of a user-supplied string before using it to construct SQL queries. An attacker can leverage this vulnerability to execute code in the context of the apache user. Was ZDI-CAN-23294.

github логотип

GHSA-g6mm-5rjg-vwhr

CVSS3: 8.8
github
больше 1 года назад

Centreon updateServiceHost SQL Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Centreon. Authentication is required to exploit this vulnerability. The specific flaw exists within the updateServiceHost function. The issue results from the lack of proper validation of a user-supplied string before using it to construct SQL queries. An attacker can leverage this vulnerability to execute code in the context of the apache user. Was ZDI-CAN-23294.

EPSS

Процентиль: 99%
0.80634
Высокий

8.8 High

CVSS3

9 Critical

CVSS2