Vulnérabilités dans Centreon

Date de publication :

Des vulnérabilités ont été découvertes dans le logiciel de supervision informatique Centreon. Un attaquant distant exploitant celles-ci peut obtenir des informations sensibles via des appels non-authentifiés à des URL non-protégées, effectuer des injections SQL pour prendre le contrôle de la base de données, ou encore effectuer une attaque CSRF pour forcer l’exécution de code contrôlé par l’attaquant.

CVE-2019-17643, CVE-2019-17644, CVE-2019-17645, CVE-2019-17646 [Score CVSS v3 : 7.5] : De multiples vulnérabilités ont été découvertes dans de multiples branches de Centreon. Un attaquant distant peut effectuer une requête vers des URL non-protégées, obtenant de cette façon des informations sensibles.

CVE-2019-17642 [Score CVSS v3 : 8.8] : Une vulnérabilité de type CSRF a été découverte dans Centreon. Un attaquant distant peut insérer des méta-caractères shell dans une requête POST, résultant en une exécution de commandes arbitraires.

CVE-2019-17647 [Score CVSS v3 : 9.8] : Une vulnérabilité de type injection SQL a été découverte dans Centreon. Un attaquant distant peut exploiter cette faille afin de prendre partiellement le contrôle de la base de données en lecture et en écriture.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Divulgation d’informations sensibles
    Perte d’intégrité et de confidentialité des données en base de données (injection SQL)
    Exécution de commandes (CSRF)

Criticité

    Score CVSS v3 : 9.8 maximum

Existence d’un code d’exploitation

    Pas de code d’exploitation disponible publiquement pour l’instant. Les informations sur les vulnérabilités de divulgation d’information sont cependant suffisantes pour réaliser une exploitation immédiate.

Composants vulnérables

    Centreon 2.8 jusqu’à (non-inclus) : 

      2.8.30 (CVE-2019-17643, CVE-2019-17644, CVE-2019-17647)
      2.8.31 (CVE-2019-17645)

    Centreon 18.10 jusqu’à (non-inclus) : 

      18.10.8 (CVE-2019-17642, CVE-2019-17643, CVE-2019-17644, CVE-2019-17647, CVE-2019-17646)
      18.10.9 (CVE-2019-17645)

    Centreon 19.04 jusqu’à (non-inclus) : 

      19.04.2 (CVE-2019-17642)
      19.04.5 (CVE-2019-17646, CVE-2019-17643, CVE-2019-17644, CVE-2019-17647)
      19.04.6 (CVE-2019-17645)

    Centreon 19.10 jusqu’à (non-inclus) : 

      19.10.1 (CVE-2019-17642)
      19.10.2 (CVE-2019-17646, CVE-2019-17643, CVE-2019-17644, CVE-2019-17647)
      19.10.3 (CVE-2019-17645)

CVE

    CVE-2019-17643
    CVE-2019-17644
    CVE-2019-17645
    CVE-2019-17646
    CVE-2019-17642
    CVE-2019-17647

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Centreon vers une version non-vulnérable (voir liste des composants vulnérables)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens