开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器

admin 2022年5月17日04:29:06评论113 views字数 1157阅读3分51秒阅读模式

开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



Icinga 是一款具有 web接口的开源IT监控系统。研究员从中发现了两个漏洞(CVE-2022-24716和CVE-2022-24715),可导致攻击者通过运行任意PHP代码的方式攻陷服务器。
开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器

研究人员指出,除了这两个缺陷外,他们在研究过程中还发现了PHP 引擎中的一个0day,利用这三个漏洞和缺陷可从管理员接口执行任意PHP代码。这三个缺陷同时涉及C 和 PHP 代码。前两个漏洞产生的原因在于 Icinga Web 2 的 web 控制面板中存在编程缺陷。


利用路径

开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器


CVE-2022-24716 是位于 Icinga Web 2 中的一个路径遍历漏洞;CVE-2022-24715 是另外一个路径遍历漏洞,它通过一个NULL 字节 利用了PHP 验证SSH 密钥的行为。该PHP 漏洞位于 OpenSSL 核心扩展中。攻击者可结合利用这几个缺陷攻陷服务器。

目前,维护人员已在 Icinga Web 版本 2.8.6、2.9.6 中发布补丁和更新。建议用户尽快更新安装程序,并修改凭据作为额外的预防措施。


严重后果

开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器


路径遍历漏洞意味着,攻击者可能能够访问 web 服务器用户可访问的内容和本地系统文件,包括具有数据库凭据的 icingaweb2 配置文件。

CVE-2022-24715 漏洞可导致从管理接口执行任意PHP代码。

研究人员表示,CVE-2022-24715和CVE-2022-24716可“轻易组合起来,如果攻击者能够披露配置文件并修改管理员密码,则他们能在未认证情况下攻陷服务器”。





代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文
开源的dotCMS 内容管理软件中存在严重的RCE漏洞
开源组件存在高危漏洞,可导致在谷歌 VirusTotal 执行RCE
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
开源的 Snort 入侵检测系统中存在高危漏洞




原文链接

https://portswigger.net/daily-swig/brace-of-icinga-web-vulnerabilities-easily-chained-to-hack-it-monitoring-software

题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器
开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日04:29:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   开源的IT监控软件Icinga web 中存在两个漏洞,可被用于攻陷服务器https://cn-sec.com/archives/1011987.html

发表评论

匿名网友 填写信息