Vulnerabilidad en Centreon centreon-web (CVE-2025-3872)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
24/04/2025
Última modificación:
22/10/2025
Descripción
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Centreon centreon-web (módulos del formulario de configuración de usuario) permite la inyección SQL. Un usuario con privilegios elevados puede convertirse en administrador interceptando la solicitud del formulario de contacto y modificando su payload. Este problema afecta a Centreon: de la versión 22.10.0 a la 22.10.28, de la versión 23.04.0 a la 23.04.25, de la versión 23.10.0 a la 23.10.20, de la versión 24.04.0 a la 24.04.10, de la versión 24.10.0 a la 24.10.4.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:centreon:centreon_web:*:*:*:*:*:*:*:* | 22.10.0 (incluyendo) | 22.10.28 (excluyendo) |
| cpe:2.3:a:centreon:centreon_web:*:*:*:*:*:*:*:* | 23.04.0 (incluyendo) | 23.04.25 (excluyendo) |
| cpe:2.3:a:centreon:centreon_web:*:*:*:*:*:*:*:* | 23.10.0 (incluyendo) | 23.10.20 (excluyendo) |
| cpe:2.3:a:centreon:centreon_web:*:*:*:*:*:*:*:* | 24.04.0 (incluyendo) | 24.04.10 (excluyendo) |
| cpe:2.3:a:centreon:centreon_web:*:*:*:*:*:*:*:* | 24.10.0 (incluyendo) | 24.10.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página