Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

nvd,anchore_overrides

Netalertx

Уязвимости

4

Эксплуатируемые

0

Критический

3

Высокий

1

Топ продуктов

Топ уязвимостей

CVE-2024-46506NetAlertX версии 23.01.14 до 24.x до 24.10.12 позволяет неавторизованное внедрение команд через обновление настроек, поскольку функция function=savesettings не требует аутентификации, как было эксплуатировано в дикой природе в мае 2025 года. Это связано с settings.php и util.php [1]. Источники: - [1] https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/

CVE-2025-32440NetAlertX - это сеть, сканер присутствия и фреймворк оповещения. До версии 25.4.14 можно обойти механизм аутентификации NetAlertX для обновления параметров без аутентификации. Агитатор может запустить чувствительные функции в util.php, отправив созданные запросы на /index.php. Этот вопрос исправлен в версии 25.4.14.

CVE-2025-48952Уязвимость в логике аутентификации NetAlertX позволяет пользователям обойти проверку пароля с помощью магических хешей SHA-256 из-за нестрогого сравнения в PHP. В уязвимых версиях приложения сравнение пароля выполняется с помощью оператора `==` в строке 40 файла front/index.php, что приводит к проблеме безопасности, когда специально созданные значения "магических хешей", оцениваемые как true при нестрогом сравнении, могут обойти аутентификацию. Из-за использования `==` вместо строгого `===` разные строки, начинающиеся с 0e и за которыми следуют только цифры, могут интерпретироваться как научная нотация (т.е. ноль) и считаться равными. Эта проблема относится к классу уязвимостей Login Bypass. Пользователи с определенными "странными" паролями, которые создают магические хеши, особенно подвержены влиянию. Сервисы, полагающиеся на эту логику, находятся под угрозой несанкционированного доступа [1]. Версия 25.6.7 исправляет эту уязвимость. Источники: - [1] https://github.com/jokob-sk/NetAlertX/security/advisories/GHSA-4p4p-vq2v-9489

CVE-2024-48766NetAlertX версии 24.7.18 до 24.10.12 содержит уязвимость, связанную с неавторизованным чтением файлов из-за возможности обхода директорий в компоненте logs.php. Это позволяет неаутентифицированным злоумышленникам запрашивать лог-файлы и читать произвольные файлы на сервере [1]. Источники: - [1] https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/ - [2] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/auxiliary/scanner/http/netalertx_file_read.rb

Открыть в каталоге с фильтром по вендору →