Vulnérabilités dans Centreon

Date de publication :

Plusieurs vulnérabilités ont été découvertes dans Centreon, un outil de supervision de réseaux. Elles peuvent permettre à un attaquant distant d’injecter du script ou code malveillant sur un système vulnérable.

CVE-2020-10946 [Score CVSS v3 : 6.1] : Une vulnérabilité de type cross-site scripting (XSS) dans Centreon peut permettre à un attaquant d’injecter du script arbitraire HTML ou Javascript via le paramètre page de service-monitoring/src/index.php. 

CVE-2020-13627 [Score CVSS v3 : 6.1] : Une vulnérabilité de type cross-site scripting (XSS) dans Centreon peut permettre à un attaquant d’injecter du script arbitraire HTML ou Javascript via le paramètre widgetid de service-monitoring/src/index.php. 

CVE-2020-13628 [Score CVSS v3 : 6.1] : Une vulnérabilité de type cross-site scripting (XSS) dans Centreon peut permettre à un attaquant d’injecter du script arbitraire HTML ou Javascript via le paramètre widgetid de host-monitoring/src/toolbar.php. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Injection de script malveillant 

Criticité

    Score CVSS v3 : 6.1

Existence d’un code d’exploitation

    Des preuves de concept sont disponibles publiquement

Composants vulnérables

    Widget host-monitoring: < 1.6.4, < 18.10.3, < 19.04.3, < 19.0.1

    Widget service-monitoring : < 1.6.4, < 18.10.5, < 19.04.3, < 19.10.2

    Widget tactical-overview : < 1.0.3, < 18.10.1, < 19.04.1, < 19.10.1

CVE

    CVE-2020-10946

    CVE-2020-13627

    CVE-2020-13628

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour vers les versions suivantes :

    • Widget host-monitoring: 1.6.4, 18.10.3, 19.04.3 or 19.0.1

    • Widget service-monitoring: 1.6.4, 18.10.5, 19.04.3 or 19.10.2

    • Widget tactical-overview: 1.0.3, 18.10.1, 19.04.1 or 19.10.1

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens