Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14539

Опубликовано: 30 окт. 2025
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI связана с ошибкой подтверждения источника данных при обработке HTTP-заголовков. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить фишинг-атаки

Вендор

Nagios Enterprises LLC

Наименование ПО

Nagios XI

Версия ПО

до 2024R1.2.2 (Nagios XI)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,2)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.nagios.com/products/security/#nagios-xi

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.00146
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-14006

CVSS3: 6.1
nvd
3 месяца назад

Nagios XI versions prior to 2024R1.2.2 contain a host header injection vulnerability. The application trusts the user-supplied HTTP Host header when constructing absolute URLs without sufficient validation. An unauthenticated, remote attacker can supply a crafted Host header to poison generated links or responses, which may facilitate phishing of credentials, account recovery link hijacking, and web cache poisoning.

github логотип

GHSA-h24p-c667-33hr

CVSS3: 6.1
github
3 месяца назад

Nagios XI versions prior to 2024R1.2.2 contain a host header injection vulnerability. The application trusts the user-supplied HTTP Host header when constructing absolute URLs without sufficient validation. An unauthenticated, remote attacker can supply a crafted Host header to poison generated links or responses, which may facilitate phishing of credentials, account recovery link hijacking, and web cache poisoning.

EPSS

Процентиль: 35%
0.00146
Низкий

8.2 High

CVSS3

8.5 High

CVSS2