BDU:2025-14348

Опубликовано: 08 апр. 2025

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Низкий

Описание

Уязвимость конечной точки API программного средства мониторинга и анализа логов Nagios Log Server связана с раскрытием системных данных неавторизованной для контролируемой области. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, извлечь административные API-ключи в незашифрованном виде путем отправки специально сформированного GET-запроса к конечной точке /nagioslogserver/index.php/api/system/get_users

Вендор

Nagios Enterprises LLC

Наименование ПО

Nagios Log Server

Версия ПО

до 2024R1.3.2 (Nagios Log Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://www.nagios.com/changelog/#log-server-2024R1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-44823
CVE

EPSS

Процентиль: 65%

0.00484

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-44823

CVSS3: 9.9

nvd

4 месяца назад

Nagios Log Server before 2024R1.3.2 allows authenticated users to retrieve cleartext administrative API keys via a /nagioslogserver/index.php/api/system/get_users call. This is GL:NLS#475.

GHSA-38pv-fm92-qcm4

CVSS3: 9.9

github

4 месяца назад

Nagios Log Server before 2024R1.3.2 allows authenticated users to retrieve cleartext administrative API keys via a /nagioslogserver/index.php/api/system/get_users call. This is GL:NLS#475.

EPSS

Процентиль: 65%

0.00484

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2