Log Server
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
9.4
Макс. EPSS
0.76624
Распределение по критичности
Критический
2
Высокий
9
Средний
12
Низкий
0
Затронутые диапазоны версий
< 1.4.2< 2.0.8< 2.1.14< 2.1.6< 2.1.7< 2.1.9< 2024< 2024r1< 2024r1.0.2< 2024r1.3.1< 2024r1.3.2< 2024r2.0.2< 2024r2.0.3< 2026r1.0.1≤ 2.1.7
Также сопоставлено как (исходные строки): log_server
Топ уязвимостей
CVE-2025-34277Версии Nagios Log Server до 2024R1.3.1 содержат уязвимость кода, при которой неправильно сформированные значения идентификатора приборной панели не проверяются должным образом перед переадресацией на внутренний API. Злоумышленник, способный поставлять созданные значения идентификатора приборной панели, может заставить систему выполнять данные, контролируемые злоумышленником, что приводит к произвольному выполнению кода в контексте процесса Log Server.
CVE-2025-34274Версии Nagios Log Server до 2024R2.0.3 содержат выполнение с ненужной уязвимостью привилегий, поскольку она запускает встроенный процесс Logstash в качестве пользователя root. Если злоумышленник способен скомпрометировать процесс Logstash - например, используя небезопасный плагин, впрыск конфигурации конвейера или уязвимость при анализе входа - злоумышленник может выполнять код с root-привилегиями, что приводит к полному компрометации системы. Служба Logstash была изменена, чтобы работать в качестве более низкопривилегированного пользователя «nagios», чтобы снизить этот риск, связанный с сетевой службой, которая может принимать ненадежные входные или загружать сторонние компоненты.
CVE-2025-44823Nagios Log Server до 2024R1.3.2 позволяет аутентифицированным пользователям получать клиринговые административные API-ключи с помощью вызова /nagioslogserver/index.php/api/system/get_users. Это GL: NLS#475.
CVE-2025-34298Версии Nagios Log Server до 2024R1.3.2 содержат уязвимость привилегий в рабочем процессе смены адресов электронной почты. Пользователь может установить свою собственную электронную почту на недействительное значение и из-за недостаточной проверки проверки и авторизации, привязанных к состоянию идентификации электронной почты, вызвать непоследовательное состояние учетной записи, которое предоставляло повышенные привилегии или обходило контрольного доступа.
CVE-2025-34271Версии Nagios Log Server до 2024R2.0.2 содержат уязвимость в компоненте управления кластера при запросе чувствительных учетных данных от одноранговых узлов по незашифрованному каналу, даже если SSL/TLS включен в конфигурации продукта. В результате злоумышленник, расположенный на сетевом пути, может перехватывать учетные данные в пути. Захваченные учетные данные могут позволить злоумышленнику аутентифицироваться в качестве кластерного узла или учетной записи службы, что позволяет осуществлять дальнейший несанкционированный доступ, боковое перемещение или компрометацию системы.
CVE-2023-7322Версии Nagios Log Server до 2024R1 содержат неправильную уязвимость авторизации. Пользователи, у которых отсутствовало необходимое разрешение API, тем не менее, могли вызывать конечные точки API, что привело к непреднамеренному доступу к данным и действиям, выставленным через API. Эта неправильная проверка авторизации может позволить аутентифицированным, но не привилегированным пользователям читать или изменять ресурсы за пределами их предполагаемых прав.
CVE-2025-34322Версии Nagios Log Server до 2026R1.0.1 содержат аутентифицированную уязвимость инъекций команд в экспериментальной функции «Natural Language Queries». Когда эта функция настроена, определенные настройки, контролируемые пользователем, включая параметры выбора модели и соединения, считываются из глобальной конфигурации и конкатенируются в команду оболочки, которая выполняется через shell_exec() без надлежащей обработки ввода или аргумента командной строки. Аутентифицированный пользователь с доступом к странице «Глобальные настройки» может предоставить созданные значения в этих полях для впрыскивания дополнительных команд оболочки, что приводит к произвольному выполнению команды в качестве пользователя «www-data» и компрометации хоста Log Server.
CVE-2025-34323Версии Nagios Log Server до 2026R1.0.1 уязвимы для локальной эскалации привилегий из-за сочетания неправильной конфигурации sudo и групповых каталогов приложений. Пользователь «www-data» является членом группы «nagios», которая имеет доступ к «/usr/local/nagioslogserver/scripts», в то время как несколько скриптов в этом каталоге принадлежат корням и могут быть выполнены через sudo без пароля. Местный злоумышленник, работающий как «www-data», может переместить один из этих корневых скриптов на резервное имя и создать заменяющий скрипт с контролируемым злоумышленником контентом на первоначальном пути, а затем вызвать его с sudo. Это позволяет выполнять произвольные команды с root-привилегиями, обеспечивая полный компрометацию базовой операционной системы.
CVE-2024-58273Версии Nagios Log Server до 2024R1.0.2 содержат локальный уязвимость пристрастий, которая позволяет злоумышленнику, который может выполнять команды в качестве веб-пользователя Apache (или пользователя бэкэнд-оболочки), перерасти в укорениться на хосте.
CVE-2025-29471Уязвимость Cross Site Scripting в Nagios Log Server v.2024R1.3.1 позволяет удаленному злоумышленнику выполнять произвольный код через полезную нагрузку в поле электронной почты.
CVE-2025-34273Версии Nagios Log Server до 2024R2.0.3 содержат неправильную уязвимость авторизации, которая позволяет пользователям, не являющим администраторов, удалять глобальные панели мониторинга. Приложение не правильно проводило проверки авторизации для глобального рабочего процесса удаления приборной панели, что позволяло пользователям с более низкой привилегией удалять информационные панели, которые влияют на других пользователей, или общий контрольный интерфейс мониторинга.
CVE-2025-34270Версии Nagios Log Server до 2024R2.0.2 содержат уязвимость в функциональности импорта пользователя AD/LDAP, поскольку она не может запутать поле пароля во время импорта. В результате пароль открытого текста, предоставленный для импортных учетных записей, может быть раскрыт в пользовательском интерфейсе, журналах или других диагностических выводах. Это может привести к утечке конфиденциальных учетных данных администраторам или любому лицу, имеюющему доступ к результатам импорта.
CVE-2025-44824Nagios Log Server до 2024R1.3.2 позволяет аутентифицированным пользователям (с доступом к API только для чтения) остановить службу Elasticsearch с помощью /nagioslogserver/index.php/api/system/stop?subsystem=elasticsearch call. Сервис останавливается даже несмотря на то, что «сообщение»: «Не могли остановить упругость» находится в ответе API. Это GL: NLS#474.
CVE-2020-25385Nagios Log Server 2.1.7 содержит уязвимость межсайтового скриптинга (XSS) в /nagioslogserver/configure/create_snapshot через параметр snapshot_name, что может повлиять на пользователей, которые открывают вредоносную ссылку или стороннюю веб-страницу.
CVE-2019-15898Nagios Log Server до версии 2.0.8 допускает отраженный XSS через имя пользователя на странице входа.
CVE-2021-35479Nagios Log Server до версии 2.1.9 содержит сохраненный XSS в пользовательском представлении столбцов для истории оповещений и функции журнала аудита через затронутый параметр pp. Это затрагивает пользователей, которые открывают специально созданную ссылку или веб-страницу стороннего производителя.
CVE-2021-35478Nagios Log Server до версии 2.1.9 содержит отраженный XSS в раскрывающемся списке для истории оповещений и функции журнала аудита. Затронуты все параметры, используемые для фильтрации. Это затрагивает пользователей, которые открывают специально созданную ссылку или веб-страницу стороннего производителя.
CVE-2020-16157В Nagios Log Server до версии 2.1.7 существует XSS-уязвимость (Stored XSS) через меню Notification Methods -> Email Users.
CVE-2025-34272В версиях Nagios Log Server до 2024R2.0.3, когда настроенная панель управления по умолчанию пользователя удаляется, приложение не надежно падает обратно на пустую панель управления по умолчанию. В некоторых реализациях это может привести к неожиданной панели мониторинга, представленной как представление пользователя по умолчанию. В зависимости от политики обмена приборной панелью продукта и доступа, такое поведение может вызвать воздействие информации или неожиданное воздействие привилегий.
CVE-2023-7323Версии Nagios Log Server до 2024R1 уязвимы для кросс-сайтных сценариев (XSS) через функцию Создать пользователя. Недостаточность проверки или утечка пользовательского ввода может позволить злоумышленнику вводить и исполнять произвольный скрипт в контексте браузера жертвы.
CVE-2023-7321Версии Nagios Log Server до 2.1.14 уязвимы для сценариев с пересеченной площадкой (XSS) через страницу Snapshots. Ненадежным содержимым журнала не было надежно закодировано для контекста вывода, что позволяет контролируемым злоумышленником данным, присутствующим в журналах, выполнять скрипт в браузере жертвы в происхождении приложения.
CVE-2020-36858Версии Nagios Log Server до 2.1.6 содержат уязвимости кросс-сайтов (XSS) через веб-интерфейс на страницах Create User, Edit User и Manage Host Lists. Недостаточная проверка или уклонение от пользовательского ввода может позволить злоумышленнику вводить и выполнять произвольный скрипт в контексте браузера жертвы.
CVE-2016-15049Версии Nagios Log Server до 1.4.2 уязвимы для скриптинга поперечного сайта (XSS) в разделе Панели инструментов при рендеринге записей журналов в таблице журналов. Ненадежный контент журнала не был безопасно закодирован для контекста вывода, что позволяет контролируемым злоумышленником данным, присутствующим в журналах, выполнять скрипт в браузере жертвы в происхождении приложения.