Icinga - CVE-2025-48057
Date de publication :
Un défaut de vérification de certificats TLS dans Icinga 2 permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de remplacer le certificat existant afin d’enregistrer sa machine comme nœud valide.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-296: Improper Following of a Certificate's Chain of Trust
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Icinga 2 lorsqu’OpenSSL est en version 1.0.2 ou antérieure
Versions antérieures à 2.12.12
Versions comprises entre 2.13.0 et 2.13.11 (incluses)
Versions comprises entre 2.14.0 et 2.14.5 (incluses)
Solutions ou recommandations
Mettre à jour Icinga 2 vers la version 2.12.12, 2.13.12 ou 2.14.6 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin d’Icinga.