Vulnérabilité critique dans Nagios
Date de publication :
CVE-2022-38250[Score CVSS v3.1:9.8] (critique)
Un défaut de suppression d’éléments spéciaux lors d’une requête dans le paramètre mib_name de Nagios XI permet à un attaquant d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 9.8 (critique)
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
Les vulnérabilités exploitées sont du type
CWE-89: Improper Neutralization of Special Elements used in an SQL Command
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Nagios XI dans sa version 5.8.6 est affecté par cette vulnérabilité.
Solutions ou recommandations
- Mettre à jourNagios XI à la version 5.8.7. Des informations complémentaires sont disponibles ici.