ГлавнаяБаза уязвимостей БДУ → BDU:2023-08753
8.3критическая

BDU:2023-08753

Уязвимость инструмента для мониторинга Nagios XI, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольный код с root-привилегиями
Опубликовано: 2023-12-15
Описание

Уязвимость инструмента для мониторинга Nagios XI существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями путём отправки специально сформированного HTTP POST-запроса на веб-сервер

Затрагиваемое ПО и версии
Nagios XI (до 5.11.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Уровень опасности: Критический (9.1)

CVSS v3:AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://assets.nagios.com/downloads/nagiosxi/versions.php

Оценка CVSS
Балл8.3 — критическая опасность
Источники и патчи
https://research.nccgroup.com/2023/12/13/technical-advisory-multiple-vulnerabilities-in-nagios-xi/https://assets.nagios.com/downloads/nagiosxi/versions.php
Проверьте безопасность своего сайта и почты → Полная проверка домена