Vulnerabilidad en Icinga Director (CVE-2025-23203)

Icinga Director es una herramienta de implementación de configuración de Icinga. Se ha detectado una vulnerabilidad de seguridad a partir de la versión 1.0.0 y anteriores a las 1.10.3 y 1.11.3 en varios directores endpoints de la API REST. Para reproducir esta vulnerabilidad, se requiere un usuario autenticado con permiso de acceso a Director (además de acceso a la API en relación con los endpoints de la API). Aunque algunos de estos usuarios de Icinga Director tienen restringido el acceso a ciertos objetos, pueden recuperar información relacionada con ellos si se conoce su nombre. Esto permite que los usuarios de Icinga Director con acceso restringido modifiquen la configuración de estos objetos. Esto da lugar a una mayor explotación, filtraciones de datos y divulgación de información confidencial. Los endpoints afectados incluyen icingaweb2/director/service (si el nombre de host no se incluye en la consulta); icingaweb2/directore/notification; icingaweb2/director/serviceset; e icingaweb2/director/scheduled-downtime. Además, el endpoint `icingaweb2/director/services?host=filteredHostName` devuelve un código de estado 200, aunque los servicios del host estén filtrados. Esto, a su vez, informa al usuario restringido de que el host `filteredHostName` existe, aunque tenga restringido el acceso. Esto podría provocar una mayor explotación de esta información y filtraciones de datos. Icinga Director cuenta con parches en las versiones 1.10.3 y 1.11.1. Si no es posible actualizar, deshabilite el módulo director para los usuarios que no tengan rol de administrador por el momento.