Nagios Xi
Уязвимости
194
Эксплуатируемые
4
Макс. CVSS
9.8
Макс. EPSS
0.96861
Распределение по критичности
Критический
32
Высокий
70
Средний
92
Низкий
0
Затронутые диапазоны версий
5.11.0–5.11.25.2.0–5.2.95.2.0–5.4.135.5.6–5.7.55.6.0–5.7.3< 2012< 2014< 2024< 2024r1.3.2< 2026< 5.11.2< 5.11.3< 5.2.4< 5.4.13< 5.5.11< 5.5.4< 5.5.7< 5.5.8< 5.6.11< 5.6.14< 5.6.6< 5.7< 5.7.2< 5.7.3
Также сопоставлено как (исходные строки): favorites,fusion,nagios_xi
Топ уязвимостей
CVE-2024-33775Проблема с компонентом Autodiscover в Nagios XI 2024R1.01 позволяет удаленному злоумышленнику повысить привилегии через созданный Dashlet.
CVE-2024-24402Проблема в Nagios XI 2024R1.01 позволяет удаленному злоумышленнику повысить привилегии через специально созданный скрипт в компонент /usr/local/nagios/bin/npcd.
CVE-2024-24401Уязвимость SQL-инъекции в Nagios XI 2024R1.01 позволяет удаленному злоумышленнику выполнить произвольный код через специально созданную полезную нагрузку в компонент monitoringwizard.php.
CVE-2023-48085В Nagios XI до версии 5.11.3 обнаружена уязвимость удаленного выполнения кода (RCE) через компонент command_test.php.
CVE-2023-48084В Nagios XI до версии 5.11.3 обнаружена уязвимость SQL-инъекции через инструмент массового изменения.
CVE-2022-38250В Nagios XI v5.8.6 обнаружена SQL-инъекция через параметр mib_name на странице Manage MIBs.
CVE-2021-37350Nagios XI до версии 5.8.5 уязвим для SQL-инъекции в инструменте массовых изменений из-за неправильной очистки ввода.
CVE-2021-36366Nagios XI до версии 5.8.5 некорректно разрешает подстановочные знаки manage_services.sh.
CVE-2021-36365Nagios XI до версии 5.8.5 имеет неверное назначение разрешений для repairmysql.sh.
CVE-2021-36364Nagios XI до версии 5.8.5 некорректно разрешает подстановочные знаки backup_xi.sh.
CVE-2021-36363Nagios XI до версии 5.8.5 имеет неверное назначение разрешений для migrate.php.
CVE-2021-3193Неправильная проверка доступа и команд в Nagios Docker Config Wizard до версии 1.1.2, используемом в Nagios XI до версии 5.7, позволяет неаутентифицированному злоумышленнику выполнять удаленный код от имени пользователя apache.
CVE-2020-28910Создание временного каталога с небезопасными разрешениями в Nagios XI 5.7.5 и более ранних версиях позволяет повысить привилегии через создание символических ссылок, которые неправильно обрабатываются в getprofile.sh.
CVE-2020-28900Недостаточная проверка подлинности данных в Nagios Fusion 4.1.8 и более ранних версиях и Nagios XI 5.7.5 и более ранних версиях позволяет повысить привилегии или выполнить код от имени root через векторы, связанные с ненадежным пакетом обновления в upgrade_to_latest.sh.
CVE-2020-15903В Nagios XI до версии 5.7.3 была обнаружена проблема. Существует уязвимость повышения привилегий в серверных скриптах, которые запускались от имени root, где некоторые включенные файлы могли редактироваться пользователем nagios. Эта проблема была решена в версии 5.7.3.
CVE-2019-9165Уязвимость SQL-инъекции в Nagios XI до версии 5.5.11 позволяет злоумышленникам выполнять произвольные SQL-команды через API при использовании fusekeys и вредоносного идентификатора пользователя.
CVE-2019-12279Nagios XI 5.6.1 допускает SQL-инъекцию через параметр username в login.php?forgotpass (он же форма сброса пароля). ПРИМЕЧАНИЕ: Поставщик оспаривает эту проблему, поскольку она не является уязвимостью, поскольку проблема, похоже, не является законной SQL-инъекцией. POC не показывает никаких допустимых инъекций, которые можно выполнить с предоставленной переменной, и, хотя передаваемое значение имени пользователя используется в SQL-запросе, оно передается через функции экранирования SQL при создании вызова. Поставщик пытался воссоздать проблему, но безуспешно.
CVE-2018-8734Уязвимость SQL-инъекции в core config manager в Nagios XI с 5.2.x по 5.4.x до 5.4.13 позволяет злоумышленнику выполнять произвольные SQL-команды через параметр selInfoKey1.
CVE-2018-8733Уязвимость обхода аутентификации в core config manager в Nagios XI с 5.2.x по 5.4.x до 5.4.13 позволяет неаутентифицированному злоумышленнику вносить изменения в конфигурацию и использовать уязвимость SQL-инъекции с аутентификацией.
CVE-2018-15708Snoopy 1.0 в Nagios XI 5.5.6 позволяет удаленным неаутентифицированным злоумышленникам выполнять произвольные команды через специально созданный HTTP-запрос.
CVE-2025-34286Версии Nagios XI до 2026R1 содержат уязвимость удаленного выполнения кода в команде Core Config Manager (CCM). Недостаточность проверки/отклонения параметров, используемых для построения бэкэнд-командных линий, позволяет аутентифицированному администратору вводить метахарактеры оболочки, которые выполняются на сервере. Успешная эксплуатация приводит к произвольному выполнению команды с привилегиями пользователя веб-приложения Nagios XI и может быть использована для получения контроля над базовой операционной системой хостов.
CVE-2025-34284Версии Nagios XI до 2024R2 содержат уязвимость командного впрыска в плагин WinRM. Недостаточность валидации параметров, поставляемых пользователем, позволяет аутентифицированному администратору вводить метахарактеры оболочки, которые включаются в бэкэнд-командные вызывания. Успешная эксплуатация обеспечивает произвольное выполнение команд с привилегиями пользователя веб-приложения Nagios XI и может использоваться для изменения конфигурации, эксфильтрации данных, нарушения операций мониторинга или выполнения команд в базовой операционной системе хоста.
CVE-2025-34134Версии Nagios XI до 2024R1.4.2 содержат уязвимость удаленного выполнения кода в компоненте Business Process Intelligence (BPI). Недостаточность валидации и дезинфекции параметров конфигурации BPI, контролируемых администратором (в частности, bpi_logfile и bpi_configfile), позволяют аутентифицированному административному пользователю заставлять продукт создавать или перезаписывать файлы в беруре и впоследствии редактировать их через редактор конфигурации BPI. Когда такие файлы имеют исполняемые расширения и обслуживаются веб-приложением, произвольный код может быть выполнен в контексте пользователя веб-приложения. Успешная эксплуатация приводит к произвольному выполнению команды с привилегиями пользователя веб-приложения Nagios XI и может быть использована для получения дальнейшего контроля над базовой операционной системой хостинга.
CVE-2024-14009Версии Nagios XI до 2024R1.0.1 содержат уязвимость эскалации привилегий в компоненте System Profile. Функция System Profile - это возможность административной диагностики/конфигурации. Из-за ненадлежащих средств контроля доступа и небезопасной обработки экспортируемых/импортированных данных профиля и операций, аутентифицированный администратор может использовать эту уязвимость для выполнения действий на базовом XI хосте за пределами безопасности приложения. Успешная эксплуатация может позволить администратору получить root-привилегии на XI сервере.
CVE-2024-14008Версии Nagios XI до 2024R1.3.2 содержат уязвимость удаленного выполнения команд в мастере конфигурации WinRM. Недостаточная проверка пользовательского ввода позволяет аутентифицированному администратору вводить метахарактеры оболочки, которые включаются в фоновые вызовы команд. Успешная эксплуатация обеспечивает произвольное выполнение команд с привилегиями пользователя веб-приложения Nagios XI.