Des failles de sécurité dans Nagios XI ?

Les quatre failles de sécurité, répertoriées de CVE-2023-40931 à CVE-2023-40934, affectent les versions 5.11.1 et inférieures de Nagios XI. Suite à une divulgation responsable le 4 août 2023, elles ont été corrigées le 11 septembre 2023, avec la sortie de la version 5.11.2.

« Trois de ces vulnérabilités (CVE-2023-40931, CVE-2023-40933 et CVE-2023-40934) permettent aux utilisateurs, avec différents niveaux de privilèges, d’accéder aux champs de la base de données via des injections SQL », a déclaré Astrid Tedenbrant, chercheuse chez Outpost24.

« Les données obtenues à partir de ces vulnérabilités peuvent être utilisées pour augmenter les privilèges dans le produit et obtenir des données utilisateur sensibles telles que des hachages de mots de passe et des jetons d’API. »

La CVE-2023-40932, quant à elle, concerne une faille XSS (cross-site scripting) dans le composant Custom Logo qui pourrait être utilisée pour lire des données sensibles, y compris des mots de passe en clair à partir de la page de connexion.

La liste des failles est décrite ci-dessous –

L’exploitation réussie des trois vulnérabilités d’injection SQL pourrait permettre à un attaquant authentifié d’exécuter des commandes SQL arbitraires, tandis que le bogue XSS pourrait être exploité pour injecter du JavaScript arbitraire et lire et modifier les données de la page.

Ce n’est pas la première fois que des problèmes de sécurité sont découverts dans Nagios XI. En 2021, Skylight Cyber et Claroty ont découvert pas moins de deux douzaines de failles qui pouvaient être exploitées pour détourner l’infrastructure et réaliser une exécution de code à distance.