Nagios
Уязвимости
37
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.83453
Распределение по критичности
Критический
2
Высокий
9
Средний
23
Низкий
3
Затронутые диапазоны версий
< 3.5.1< 4.2.2≤ 1.3≤ 2.0.1≤ 2.9≤ 3.0.4≤ 3.0.5≤ 3.1.0≤ 3.2.3≤ 3.4.3≤ 3.5.1≤ 4.0.2≤ 4.0.3≤ 4.2.1≤ 4.2.3≤ 4.2.4≤ 4.3.2≤ 4.4.1
Также сопоставлено как (исходные строки): nagios,icinga,monitor,openstack
Топ уязвимостей
CVE-2002-1959Nagios 1.0b1 - 1.0b3 позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в выходных данных плагина.
CVE-2016-0726Пакет Fedora Nagios использует "nagiosadmin" в качестве пароля по умолчанию для учетной записи администратора "nagiosadmin", что облегчает удаленным злоумышленникам получение доступа, используя знание учетных данных.
CVE-2020-6585Nagios Log Server 2.1.3 имеет CSRF.
CVE-2016-9565MagpieRSS, используемый во внешнем компоненте Nagios Core до версии 4.2.2, может позволить удаленным злоумышленникам читать или записывать произвольные файлы, подделав специально разработанный ответ с сервера RSS-канала Nagios. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2008-4796.
CVE-2012-6096Множественные переполнения буфера на основе стека в функции get_history в history.cgi в Nagios Core до версии 3.4.4 и Icinga 1.6.x до версии 1.6.2, 1.7.x до версии 1.7.4 и 1.8.x до версии 1.8.4 могут позволить удаленным злоумышленникам выполнить произвольный код через длинную (1) переменную host_name (параметр host) или (2) переменную svc_description.
CVE-2008-4796Функция _httpsrequest (Snoopy/Snoopy.class.php) в Snoopy 1.2.3 и более ранних версиях, используемая в (1) ampache, (2) libphp-snoopy, (3) mahara, (4) mediamate, (5) opendb, (6) pixelpost и, возможно, в других продуктах, позволяет удаленным злоумышленникам выполнять произвольные команды через shell-метасимволы в https URL.
CVE-2006-2489Переполнение целого числа в CGI-скриптах в Nagios 1.x до 1.4.1 и 2.x до 2.3.1 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через заголовок HTTP с длиной содержимого (Content-Length). ПРИМЕЧАНИЕ: это другая уязвимость, чем CVE-2006-2162.
CVE-2016-9566base/logging.c в Nagios Core до версии 4.2.4 позволяет локальным пользователям, имеющим доступ к учетной записи в группе nagios, получать привилегии root посредством атаки с использованием символической ссылки на файл журнала. ПРИМЕЧАНИЕ: это может быть использовано удаленными злоумышленниками, использующими CVE-2016-9565.
CVE-2014-5009Snoopy позволяет удаленным злоумышленникам выполнять произвольные команды. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2014-5008.
CVE-2008-7313Функция _httpsrequest в Snoopy позволяет удаленным злоумышленникам выполнять произвольные команды. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2008-4796.
CVE-2019-3698Уязвимость UNIX Symbolic Link (Symlink) Following в cronjob, поставляемом с nagios в SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 11; openSUSE Factory позволяет локальным злоумышленникам вызывать DoS или потенциально повышать привилегии, выиграв гонку. Эта проблема затрагивает: SUSE Linux Enterprise Server 12 nagios версии 3.5.1-5.27 и более ранних версий. SUSE Linux Enterprise Server 11 nagios версии 3.0.6-1.25.36.3.1 и более ранних версий. openSUSE Factory nagios версии 4.4.5-2.1 и более ранних версий.
CVE-2008-5028Уязвимость межсайтовой подделки запросов (CSRF) в cmd.cgi в (1) Nagios 3.0.5 и (2) op5 Monitor до 4.0.1 позволяет удаленным злоумышленникам отправлять команды процессу Nagios и запускать выполнение произвольных программ этим процессом через неуказанные HTTP-запросы.
CVE-2016-8641В nagios 4.2.x обнаружена уязвимость повышения привилегий, которая возникает в daemon-init.in при создании необходимых файлов и небезопасном изменении владельца впоследствии. Локальный злоумышленник может создать символические ссылки до создания файлов и, возможно, повысить привилегии с помощью изменения владельца.
CVE-2016-10089Nagios 4.3.2 и более ранние версии позволяют локальным пользователям получать root-привилегии через атаку с использованием жестких ссылок на файл скрипта инициализации Nagios, связанную с CVE-2016-8641.
CVE-2020-6584Nagios Log Server 2.1.3 имеет некорректный контроль доступа.
CVE-2009-2288statuswml.cgi в Nagios до 3.1.1 позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в параметрах (1) ping или (2) Traceroute.
CVE-2008-5027Процесс Nagios в (1) Nagios до 3.0.5 и (2) op5 Monitor до 4.0.1 позволяет удаленным аутентифицированным пользователям обходить проверки авторизации и запускать выполнение произвольных программ этим процессом через (a) пользовательскую форму или (b) надстройку браузера.
CVE-2016-6209Уязвимость межсайтового скриптинга (XSS) в Nagios.
CVE-2020-6586Nagios Log Server 2.1.3 допускает XSS при посещении /profile и вводе специально созданного поля имени, которое неправильно обрабатывается на странице /admin/users. Любой злонамеренный пользователь с ограниченным доступом может хранить полезную нагрузку XSS в своем имени. Когда любой администратор просматривает это, XSS срабатывает.
CVE-2008-6373Неуказанная уязвимость в Nagios до 3.0.6 имеет неуказанное воздействие и удаленные векторы атак, связанные с программами CGI, "адаптивными внешними командами" и "записью новых строк и отправкой комментариев к службам".
CVE-2006-2162Переполнение буфера в CGI-скриптах Nagios версий 1.x до 1.4 и 2.x до 2.3 позволяет удаленным злоумышленникам выполнять произвольный код через отрицательную длину содержимого (Content-Length) в HTTP-заголовке.
CVE-2020-13977Nagios 4.4.5 позволяет злоумышленнику, у которого уже есть административный доступ для изменения настройки конфигурации "URL для JSON CGIs", изменять код гистограммы и тенденций предупреждений с помощью специально созданных версий файлов archivejson.cgi, objectjson.cgi и statusjson.cgi. ПРИМЕЧАНИЕ: Эта уязвимость ошибочно связана с CVE-2020-1408.
CVE-2017-12847Nagios Core до версии 4.3.3 создает файл PID nagios.lock после понижения привилегий до учетной записи, не являющейся учетной записью root, что может позволить локальным пользователям завершать произвольные процессы, используя доступ к этой учетной записи, не являющейся учетной записью root, для изменения nagios.lock перед тем, как root-скрипт выполнит команду "kill `cat /pathname/nagios.lock`".
CVE-2014-4703lib/parse_ini.c в Nagios Plugins 2.0.2 позволяет локальным пользователям получать конфиденциальную информацию через атаку с использованием символических ссылок на файл конфигурации во флаге extra-opts. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2014-4701.
CVE-2014-4702Плагин check_icmp в Nagios Plugins до версии 2.0.2 позволяет локальным пользователям получать конфиденциальную информацию из INI-файлов конфигурации через флаг extra-opts, что является другой уязвимостью, чем CVE-2014-4701.