Meridian
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.02951
Распределение по критичности
Критический
0
Высокий
7
Средний
16
Низкий
0
Затронутые диапазоны версий
2015.1.0-1–2019.1.18-12015.1.0–2019.1.182015.1.0–2019.1.192016.1.0–2016.1.242017–2017.1.212020.0.0–2020.1.372020.0.0–2020.1.382020.1.0–2020.1.332023.0.0–2023.1.5< 2020.1.38< 2023.1.0< 2023.1.9
Также сопоставлено как (исходные строки): meridian,horizon,opennms,newts
Топ уязвимостей
CVE-2023-40313Интерпретатор BeanShell в режиме удаленного сервера работает в OpenMNS Horizon версиях ранее 32.0.2 и в связанных версиях Meridian, что может позволить произвольное удаленное выполнение Java-кода. Решением является обновление до Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 или Horizon 32.0.2 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки во внутренних сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2021-3396OpenNMS Meridian 2016, 2017, 2018 до 2018.1.25, 2019 до 2019.1.16 и 2020 до 2020.1.5, Horizon 1.2 через 27.0.4 и Newts <1.5.3 имеют неправильный контроль доступа, что позволяет локально и удаленно выполнять код с использованием выражений JEXL.
CVE-2021-25931В OpenNMS Horizon, версии opennms-1-0-stable–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.6-1, уязвимы для CSRF из-за отсутствия защиты CSRF в `/opennms/admin/userGroupView/users/updateUser`. Этот недостаток позволяет назначить роль безопасности `ROLE_ADMIN` обычному пользователю. Используя этот недостаток, злоумышленник может обманом заставить пользователя-администратора назначить права администратора обычному пользователю, заманив его на веб-сайт, контролируемый злоумышленником.
CVE-2020-11886OpenNMS Horizon и Meridian допускают HQL-инъекции в element/nodeList.htm (также известном как NodeListController) через snmpParm или snmpParmValue для addCriteriaForSnmpParm. Это затрагивает Horizon до версии 25.2.1, Meridian 2019 до версии 2019.1.4, Meridian 2018 до версии 2018.1.16 и Meridian 2017 до версии 2017.1.21.
CVE-2023-40612В OpenMNS Horizon 31.0.8 и версиях, предшествующих 32.0.2, редактор файлов, доступный любому пользователю с привилегиями ROLE_FILESYSTEM_EDITOR, уязвим для атак XXE-инъекций. Решением является обновление до Meridian 2023.1.5 или Horizon 32.0.2 или более поздней версии. Инструкции по установке Meridian и Horizon гласят, что они предназначены для установки в частных сетях организации и не должны быть непосредственно доступны из Интернета. OpenNMS благодарит Эрика Винтера за сообщение об этой проблеме.
CVE-2023-40315В OpenMNS Horizon 31.0.8 и версиях ранее 32.0.2 и связанных версиях Meridian любой пользователь с ролью ROLE_FILESYSTEM_EDITOR может легко повысить свои привилегии до ROLE_ADMIN или любой другой роли. Решением является обновление до Meridian 2023.1.5 или Horizon 32.0.2 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки во внутренних сетях организации и не должны быть напрямую доступны из Интернета. OpenNMS благодарит Erik Wynter за сообщение об этой проблеме.
CVE-2023-0872REST API Horizon включает конечную точку users в OpenMNS Horizon 31.0.8 и версиях, более ранних, чем 32.0.2, на нескольких платформах уязвима для повышения привилегий. Решением является обновление до Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 или Horizon 32.0.2 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета. OpenNMS благодарит Эрика Уинтера за сообщение об этой проблеме.
CVE-2023-0870Формой можно манипулировать с помощью межсайтовой подделки запросов во многих версиях OpenNMS Meridian и Horizon. Это потенциально может позволить злоумышленнику получить доступ к конфиденциальной информации и поставить под угрозу целостность. Решением является обновление до Meridian 2023.1.1 или Horizon 31.0.6 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2023-0815Потенциальная вставка конфиденциальной информации в файлы журналов Jetty в нескольких версиях OpenNMS Meridian и Horizon может позволить раскрыть имена пользователей и пароли, если уровень ведения журнала установлен на отладку. Пользователям следует обновиться до Meridian 2023.1.0 или новее, или Horizon 31.0.4. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2023-40314Межсайтовый скриптинг в bootstrap.jsp в нескольких версиях OpenNMS Meridian и Horizon предоставляет злоумышленнику доступ к конфиденциальной информации о сеансе. Решением является обновление до Horizon 32.0.5 или новее и Meridian 2023.1.9 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки во внутренних сетях организации и не должны быть напрямую доступны из Интернета. OpenNMS благодарит Moshe Apelbaum за сообщение об этой проблеме.
CVE-2023-0871XXE-инъекция в конечной точке /rtc/post/ в OpenMNS Horizon 31.0.8 и версиях, более ранних, чем 32.0.2, на нескольких платформах уязвима для инъекции XML External Entity (XXE), которая может использоваться, например, для принудительной отправки Horizon произвольных HTTP-запросов к внутренним и внешним службам. Решением является обновление до Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 или Horizon 32.0.2 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета. OpenNMS благодарит Эрика Уинтера и Моше Апельбаума за сообщение об этой проблеме.
CVE-2023-0869Межсайтовый скриптинг в outage/list.htm во многих версиях OpenNMS Meridian и Horizon позволяет злоумышленнику получить доступ к конфиденциальной информации о сеансе. Решением является обновление до Meridian 2023.1.0 или новее, или Horizon 31.0.4 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2023-0868Отраженный межсайтовый скриптинг в результатах графиков во многих версиях OpenNMS Meridian и Horizon может позволить злоумышленнику получить доступ к краже файлов cookie сеанса. Пользователям следует обновиться до Meridian 2023.1.0 или новее, или Horizon 31.0.4. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2023-0867Множественные сохраненные и отраженные уязвимости межсайтового скриптинга на веб-страницах jsp во многих версиях OpenNMS Meridian и Horizon могут позволить злоумышленнику получить доступ к конфиденциальной информации о сеансе. Пользователям следует обновиться до Meridian 2023.1.0 или новее, или Horizon 31.0.4. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2023-0846Не прошедший проверку подлинности, сохраненный межсайтовый скриптинг в отображении ключей сокращения аварийных сигналов во многих версиях OpenNMS Horizon и Meridian может позволить злоумышленнику получить доступ к конфиденциальной информации о сеансе. Пользователям следует обновиться до Meridian 2023.1.0 или новее, или Horizon 31.0.4. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки в частных сетях организации и не должны быть напрямую доступны из Интернета.
CVE-2021-25935В OpenNMS Horizon, версии opennms-17.0.0-1–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.7-1, уязвимы для сохраненного межсайтового скриптинга, поскольку функция `add()` выполняет неправильные проверки входных данных, отправляемых в параметр `foreign-source`. Из-за этого недостатка злоумышленник может обойти существующую проверку регулярного выражения и внедрить произвольный скрипт, который будет сохранен в базе данных.
CVE-2021-25934В OpenNMS Horizon, версии opennms-18.0.0-1–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.7-1, уязвимы для сохраненного межсайтового скриптинга, поскольку функция `createRequisitionedNode()` не выполняет никаких проверок входных данных, отправляемых в параметр `node-label`. Из-за этого недостатка злоумышленник может внедрить произвольный скрипт, который будет сохранен в базе данных.
CVE-2021-25932В OpenNMS Horizon, версии opennms-1-0-stable–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.6-1, уязвимы для сохраненного межсайтового скриптинга, поскольку функция `validateFormInput()` выполняет неправильные проверки входных данных, отправляемых в параметр `userID`. Из-за этого недостатка злоумышленник может внедрить произвольный скрипт, который будет сохранен в базе данных.
CVE-2023-40312Множественные отраженные XSS были обнаружены в различных JSP-файлах с необработанными параметрами в OpenMNS Horizon 31.0.8 и версиях ранее 32.0.2 на нескольких платформах, которые злоумышленник может изменить, чтобы создать вредоносную полезную нагрузку XSS. Решением является обновление до Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 или Horizon 32.0.2 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки во внутренних сетях организации и не должны быть напрямую доступны из Интернета. OpenNMS благодарит Jordi Miralles Comins за сообщение об этой проблеме.
CVE-2023-40311Множественные сохраненные XSS были обнаружены в различных JSP-файлах с необработанными параметрами в OpenMNS Horizon 31.0.8 и версиях ранее 32.0.2 на нескольких платформах, которые позволяют злоумышленнику хранить в базе данных, а затем загружать в JSP или Angular шаблоны. Решением является обновление до Meridian 2023.1.6, 2022.1.19, 2021.1.30, 2020.1.38 или Horizon 32.0.2 или новее. Инструкции по установке Meridian и Horizon указывают, что они предназначены для установки во внутренних сетях организации и не должны быть напрямую доступны из Интернета. OpenNMS благодарит Jordi Miralles Comins за сообщение об этой проблеме.
CVE-2021-25933В OpenNMS Horizon, версии opennms-1-0-stable–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.6-1, уязвимы для сохраненного межсайтового скриптинга, поскольку функция `validateFormInput()` выполняет неправильные проверки входных данных, отправляемых в параметры `groupName` и `groupComment`. Из-за этого недостатка аутентифицированный злоумышленник может внедрить произвольный скрипт и обманом заставить других пользователей-администраторов загружать вредоносные файлы, что может нанести серьезный ущерб организации, использующей opennms.
CVE-2021-25929В OpenNMS Horizon, версии opennms-1-0-stable–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.6-1, уязвимы для сохраненного межсайтового скриптинга, поскольку отсутствует проверка входных данных, отправляемых в параметр `name` в конечной точке `noticeWizard`. Из-за этого недостатка аутентифицированный злоумышленник может внедрить произвольный скрипт и обманом заставить других пользователей-администраторов загружать вредоносные файлы.
CVE-2021-25930В OpenNMS Horizon, версии opennms-1-0-stable–opennms-27.1.0-1; OpenNMS Meridian, версии meridian-foundation-2015.1.0-1–meridian-foundation-2019.1.18-1; meridian-foundation-2020.1.0-1–meridian-foundation-2020.1.6-1, уязвимы для CSRF из-за отсутствия защиты CSRF и отсутствия проверки существующего имени пользователя при переименовании пользователя. В результате привилегии переименованного пользователя перезаписываются старым пользователем, а старый пользователь удаляется из списка пользователей.