Fusion
Уязвимости
19
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.26206
Распределение по критичности
Критический
6
Высокий
5
Средний
8
Низкий
0
Затронутые диапазоны версий
< 4.0.1< 4.1.4< 4.1.5< 4.2.0≤ 4.1.8
Также сопоставлено как (исходные строки): fusion,nagios_xi
Топ уязвимостей
CVE-2020-28908Внедрение команд в Nagios Fusion 4.1.8 и более ранних версиях позволяет повысить привилегии до nagios.
CVE-2020-28907Неправильная проверка SSL-сертификата в Nagios Fusion 4.1.8 и более ранних версиях позволяет повысить привилегии или выполнить код от имени root через векторы, связанные с загрузкой ненадежного пакета обновления в upgrade_to_latest.sh.
CVE-2020-28904Выполнение с ненужными привилегиями в Nagios Fusion 4.1.8 и более ранних версиях позволяет повысить привилегии до nagios через установку вредоносного компонента, содержащего код PHP.
CVE-2020-28902Внедрение команд в Nagios Fusion 4.1.8 и более ранних версиях позволяет повысить привилегии от apache до root в cmd_subsys.php.
CVE-2020-28901Внедрение команд в Nagios Fusion 4.1.8 и более ранних версиях позволяет повысить привилегии или выполнить код от имени root через векторы, связанные с поврежденной установкой компонента в cmd_subsys.php.
CVE-2020-28900Недостаточная проверка подлинности данных в Nagios Fusion 4.1.8 и более ранних версиях и Nagios XI 5.7.5 и более ранних версиях позволяет повысить привилегии или выполнить код от имени root через векторы, связанные с ненадежным пакетом обновления в upgrade_to_latest.sh.
CVE-2020-28909Неправильные разрешения на файлы в Nagios Fusion 4.1.8 и более ранних версиях позволяют повысить привилегии до root через изменение скриптов. Пользователи с низкими привилегиями могут изменять файлы, которые могут быть выполнены с помощью sudo.
CVE-2020-28906Неправильные разрешения на файлы в Nagios XI 5.7.5 и более ранних версиях и Nagios Fusion 4.1.8 и более ранних версиях позволяют повысить привилегии до root. Пользователи с низкими привилегиями могут изменять файлы, которые включаются (также известные как sourced) скриптами, выполняемыми root.
CVE-2020-28905Неправильная проверка ввода в Nagios Fusion 4.1.8 и более ранних версиях позволяет аутентифицированному злоумышленнику выполнять удаленный код через разбивку таблицы на страницы.
CVE-2025-60425Nagios Fusion v2024R.2 и v2024R2 не аннулирует уже существующие токены сеанса при включении двухфакторного механизма аутентификации, что позволяет злоумышленникам выполнять атаку угона сеанса.
CVE-2025-60424Отсутствие ограничения скорости в компоненте проверки OTP Nagios Fusion v2024R1.2 и v2024R2 позволяет злоумышленникам обходить аутентификацию посредством атаки buteforce.
CVE-2020-28911Неправильный контроль доступа в Nagios Fusion 4.1.8 и более ранних версиях позволяет аутентифицированным пользователям с низкими привилегиями извлекать пароли, используемые для управления объединенными серверами, через команду test_server в ajaxhelper.php.
CVE-2023-7312Версии Nagios Fusion до 4.2.0 содержат сохраненную уязвимость сценариев с пересеченным сайтом (XSS) при добавлении или настройке настроек электронной почты. Несанитарный пользовательский ввод может быть сохранен, а затем отобращен в административном интерфейсе, в результате чего JavaScript выполняется в браузере любого пользователя, который просматривает затронутую страницу. Злоумышленник, который может добавлять или изменять настройки SMTP/email или манипулировать полями конфигурации sendmail, может сохранять вредоносную полезную нагрузку, которая выполняется в контексте браузеров других пользователей.
CVE-2023-53690Версии Nagios Fusion до 4.2.0 содержат сохраненную уязвимость кросс-сайт-скриптинг (XSS) в конфигурации LDAP/AD-сервера аутентификации. Несанитарный пользовательский ввод может быть сохранен, а затем передан в административный пользовательский интерфейс, в результате чего JavaScript выполняется в браузере любого пользователя, который просматривает затронутую страницу. Злоумышленник, который может добавлять серверы аутентификации через интеграцию LDAP/AD, может сохранять вредоносную полезную нагрузку, которая выполняется в контексте браузеров других пользователей.
CVE-2020-28903Неправильная проверка ввода в Nagios Fusion 4.1.8 и более ранних версиях позволяет удаленному злоумышленнику с контролем над объединенным сервером внедрять произвольный HTML, также известный как XSS.
CVE-2018-12501Nagios Fusion до 4.1.4 имеет XSS, также известный как TPS#13332-13335.
CVE-2023-53689Версии Nagios Fusion до 4.2.0 содержат отраженную уязвимость кросс-сайта (XSS) в потоке конфигурации лицензионного ключа, которая может привести к выполнению контролируемого злоумышленником скрипта в браузере пользователя, который следует созданному URL-адресу. Хотя сам сервер приложений не поврежден отраженным XSS, результирующий компрометирующий браузер может привести к краже учетных данных/сессионных и несанкционированным административным действиям.
CVE-2018-25119Версии Nagios Fusion до 4.1.5 уязвимы для сценариев через сайт (XSS) через параметр «fusionwindow». Недостаточность проверки или уклонение от пользовательского ввода может позволить злоумышленнику вводить и исполнять произвольный скрипт в контексте браузера жертвы.
CVE-2017-20209Версии Nagios Fusion до 4.0.1 уязвимы для сценариев через сайт (XSS) через страницы Пользователей и Серверов. Недостаточная проверка или уклонение от пользовательского ввода может позволить злоумышленнику вводить и выполнять произвольный скрипт в контексте браузера жертвы.