Icingaweb2
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.89378
Распределение по критичности
Критический
1
Высокий
3
Средний
10
Низкий
1
Также сопоставлено как (исходные строки): icingaweb2
Топ уязвимостей
CVE-2018-18249Icinga Web 2 до версии 2.6.2 позволяет внедрять директивы PHP ini-файла через векторы, включающие переменные среды в качестве канала для отправки информации злоумышленнику, например, параметр name=${PATH}_${APACHE_RUN_DIR}_${APACHE_RUN_USER} в /icingaweb2/navigation/add или /icingaweb2/dashboard/new-dashlet.
CVE-2022-24715Icinga Web 2 — это веб-интерфейс мониторинга с открытым исходным кодом, платформа и интерфейс командной строки. Прошедшие проверку подлинности пользователи, имеющие доступ к конфигурации, могут создавать файлы ресурсов SSH в непредназначенных каталогах, что приводит к выполнению произвольного кода. Эта проблема была решена в версиях 2.8.6, 2.9.6 и 2.10 Icinga Web 2. Пользователям, не имеющим возможности выполнить обновление, следует ограничить доступ к конфигурации Icinga Web 2.
CVE-2022-24716Icinga Web 2 — это веб-интерфейс мониторинга с открытым исходным кодом, платформа и интерфейс командной строки. Пользователи, не прошедшие проверку подлинности, могут раскрывать содержимое файлов локальной системы, доступных пользователю веб-сервера, включая файлы конфигурации `icingaweb2` с учетными данными базы данных. Эта проблема была решена в версиях 2.9.6 и 2.10 Icinga Web 2. Учетные данные базы данных следует заменить.
CVE-2018-18250Icinga Web 2 до версии 2.6.2 позволяет использовать параметры, которые ломают панели навигации, как показано одиночным символом '$' в качестве имени элемента навигации.
CVE-2021-32747Icinga Web 2 — это веб-интерфейс мониторинга с открытым исходным кодом, фреймворк и интерфейс командной строки. Уязвимость, при которой пользовательские переменные предоставляются неавторизованным пользователям, существует в версиях с 2.0.0 по 2.8.2. Пользовательские переменные — это определяемые пользователем ключи и значения в объектах конфигурации в Icinga 2. Они обычно используются для ссылки на секреты в других конфигурациях, таких как команды проверки, чтобы иметь возможность аутентифицироваться в проверяемой службе. Icinga Web 2 отображает эти пользовательские переменные для вошедших в систему пользователей с доступом к указанным хостам или службам. Чтобы защитить секреты от просмотра кем-либо, можно настроить правила защиты и черные списки в роли пользователя. Правила защиты приводят к тому, что вместо исходного значения отображается `***`, ключ останется. Черные списки полностью скроют пользовательскую переменную от пользователя. Помимо использования пользовательского интерфейса, к пользовательским переменным также можно получить доступ по-разному, используя незадокументированный параметр URL. Добавив параметр к затронутым маршрутам, Icinga Web 2 дополнительно покажет эти столбцы в соответствующем списке. Этот параметр также учитывается при экспорте в JSON или CSV. Однако правила защиты и черные списки в этом случае не действуют. Пользовательские переменные отображаются в результате как есть. Проблема была решена в выпусках 2.9.0, 2.8.3 и 2.7.5. В качестве обходного пути можно настроить ограничение, чтобы скрыть хосты и службы с соответствующей пользовательской переменной.
CVE-2018-18246Icinga Web 2 до версии 2.6.2 имеет CSRF через /icingaweb2/config/moduledisable?name=monitoring для отключения модуля мониторинга или через /icingaweb2/config/moduleenable?name=setup для включения модуля настройки.
CVE-2025-30164Icinga Web 2 является веб-интерфейсом мониторинга с открытым исходным кодом, фреймворком и интерфейсом командной строки. Уязвимость в версиях до 2.11.5 и 2.12.13 позволяет атакующему создать URL, который, когда его посещает аутентифицированный пользователь (или пользователь, который может аутентифицироваться), позволяет манипулировать системой, перенаправляя пользователя в любое место. Эта проблема была устранена в версиях 2.11.5 и 2.12.3 Icinga Web 2. Известные обходные решения отсутствуют.
CVE-2025-27405Icinga Web 2 - это интерфейс мониторинга с открытым исходным кодом, фреймворк и интерфейс командной строки. Уязвимость в версиях до 2.11.5 и 2.12.13 позволяет злоумышленнику создать URL-адрес, который, после посещения любым пользователем, позволяет встроить произвольный Javascript в Icinga Web и действовать от имени этого пользователя. Эта проблема была решена в версиях 2.11.5 и 2.12.3 Icinga Web 2. В качестве обходного решения те, у кого Icinga Web 2.12.2, могут включить политику безопасности контента в настройках приложения.
CVE-2025-27404Icinga Web 2 является веб-интерфейсом мониторинга с открытым исходным кодом, фреймворком и интерфейсом командной строки. Уязвимость в версиях до 2.11.5 и 2.12.13 позволяет злоумышленнику создать URL, который, после посещения любым пользователем, позволяет внедрять произвольный Javascript в Icinga Web и действовать от имени этого пользователя. Эта проблема была решена в версиях 2.11.5 и 2.12.3 Icinga Web 2. В качестве обходного решения те, кто использует Icinga Web 2.12.2, могут включить политику безопасности контента в настройках приложения.
CVE-2018-18248Icinga Web 2 имеет XSS через параметр dir в /icingaweb2/monitoring/list/services, строку запроса /icingaweb2/user/list, строку запроса /icingaweb2/monitoring/timeline или строку запроса /icingaweb2/setup.
CVE-2018-18247Icinga Web 2 до версии 2.6.2 имеет XSS через параметр icon в /icingaweb2/navigation/add.
CVE-2022-24714Icinga Web 2 — это веб-интерфейс мониторинга с открытым исходным кодом, платформа и интерфейс командной строки. Затронуты установки Icinga 2 с включенным модулем записи IDO. Если вы используете пользовательские переменные службы в ограничениях ролей и регулярно выводите из эксплуатации объекты службы, пользователи с указанными ролями по-прежнему могут иметь доступ к коллекции контента. Обратите внимание, что это относится только к тому случаю, если роль неявно разрешила доступ к хостам из-за разрешенного доступа хотя бы к одной из их служб. Если доступ к хосту разрешен другими способами, несанкционированным пользователям не раскрывается никакой конфиденциальной информации. Эта проблема была решена в версиях 2.8.6, 2.9.6 и 2.10 Icinga Web 2.
CVE-2022-2400Внешний контроль имени файла или пути в репозитории GitHub dompdf/dompdf до версии 2.0.0.
CVE-2021-32746Icinga Web 2 — это веб-интерфейс мониторинга с открытым исходным кодом, фреймворк и интерфейс командной строки. В версиях с 2.3.0 по 2.8.2 модуль `doc` Icinga Web 2 позволяет просматривать документацию непосредственно в пользовательском интерфейсе. Он должен быть включен вручную администратором, и пользователям требуется явное разрешение на доступ для его использования. Затем, посетив определенный маршрут, можно получить доступ к произвольным файлам, доступным для чтения пользователем веб-сервера. Проблема была решена в выпусках 2.9.0, 2.8.3 и 2.7.5. В качестве обходного пути администратор может отключить модуль `doc` или отозвать разрешение на его использование у всех пользователей.
CVE-2025-27609Icinga Web 2 — это интерфейс мониторинга с открытым исходным кодом, фреймворк и интерфейс командной строки. Уязвимость в версиях до 2.11.5 и 2.12.13 позволяет злоумышленнику создать запрос, который, попав на Icinga Web жертвы, позволяет внедрить произвольный Javascript и действовать от имени этого пользователя. Эта проблема была решена в версиях 2.11.5 и 2.12.3 Icinga Web 2. В качестве обходного решения, те, у кого Icinga Web 2.12.2 могут включить политику безопасности контента в настройках приложения. Любой современный браузер с работающей реализацией CORS также надежно защищает от этой уязвимости.