Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Icinga (CVE-2024-49369)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
12/11/2024
Última modificación:
13/11/2024

Descripción

Icinga es un sistema de monitoreo que verifica la disponibilidad de los recursos de red, notifica a los usuarios sobre interrupciones y genera datos de rendimiento para informes. La validación del certificado TLS en todas las versiones de Icinga 2 a partir de la 2.4.0 tenía fallas, lo que permitía a un atacante hacerse pasar tanto por nodos de clúster confiables como por cualquier usuario de API que use certificados de cliente TLS para autenticación (objetos ApiUser con el atributo client_cn establecido). Esta vulnerabilidad se ha corregido en v2.14.3, v2.13.10, v2.12.11 y v2.11.12.