| CVE-2023-41812 | Vulnerabilidad de subida no restringida de ficheros de tipo peligroso en Pandora FMS permite acceder a funcionalidades no restringidas adecuadamente por ACLs. Esta vulnerabilidad permitía subir ficheros ejecutables PHP a través del gestor de ficheros. Este problema afecta a Pandora FMS: del 772 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41811 | La vulnerabilidad Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') en Pandora FMS permite Cross-Site Scripting (XSS). Esta vulnerabilidad podría permitir la ejecución de código Javascript en la sección de noticias de la consola web. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41810 | Vulnerabilidad CSRF (Cross-Site Request Forgery) en Pandora FMS permite Cross-Site Scripting (XSS). Esta vulnerabilidad podría permitir ejecutar código Javascript en la caja de texto de algunos Widgets. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41808 | Una vulnerabilidad de Gestión de Privilegios inadecuada en Pandora FMS permite la Escalada de Privilegios. Esta vulnerabilidad permite a un usuario no autorizado escalar y leer ficheros sensibles como si fuera root. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41807 | Una vulnerabilidad de gestión de privilegios inadecuada en Pandora FMS permite la escalada de privilegios. Esta vulnerabilidad permite a un usuario escalar permisos en el shell del sistema. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41806 | Una vulnerabilidad de Gestión de Privilegios inadecuada en Pandora FMS permite la Escalada de Privilegios. Esta vulnerabilidad hace que una mala asignación de privilegios pueda provocar un ataque DOS que afecte a la disponibilidad del servidor de Pandora FMS.Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41792 | La vulnerabilidad de falsificación de petición de sitio cruzado (CSRF) en Pandora FMS permite Cross-Site Scripting (XSS). Esta vulnerabilidad permite la ejecución de código Javascript en el Editor de Traps SNMP. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41791 | Vulnerabilidad de elemento de ruta de búsqueda incontrolada en Pandora FMS permite el apalancamiento/manipulación de rutas de búsqueda de archivos de configuración. Esta vulnerabilidad permite acceder a ficheros con información sensible y permite descubrir la contraseña del usuario administrador de la base de datos. Este problema afecta a Pandora FMS: del 700 al 772. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41790 | Vulnerabilidad de elemento de ruta de búsqueda incontrolada en Pandora FMS permite aprovechar/manipular rutas de búsqueda de archivos de configuración. Esta vulnerabilidad permite acceder al fichero de configuración del servidor y comprometer la base de datos. Este problema afecta a Pandora FMS: del 700 al 774. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41789 | La vulnerabilidad Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') en Pandora FMS permite Cross-Site Scripting (XSS). Esta vulnerabilidad permite a un atacante realizar un secuestro de cookies e iniciar sesión como ese usuario sin necesidad de credenciales. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41788 | La vulnerabilidad de subida no restringida de ficheros de tipo peligroso en Pandora FMS permite acceder a funcionalidades no restringidas adecuadamente por ACLs. Esta vulnerabilidad permite a los atacantes ejecutar código a través de la subida de ficheros PHP. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41787 | Vulnerabilidad de elemento de ruta de búsqueda incontrolada en Pandora FMS permite el apalancamiento/manipulación de rutas de búsqueda de archivos de configuración. Esta vulnerabilidad permite acceder a ficheros con información sensible y permite descubrir la contraseña del usuario administrador de la base de datos. Este problema afecta a Pandora FMS: del 700 al 772. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-41786 | Exposición de información sensible a un actor no autorizado vulnerabilidad en Pandora FMS permite el descubrimiento de archivos. Esta vulnerabilidad permite a usuarios con privilegios bajos descargar backups de bases de datos. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-4677 | Exposición de información sensible a un actor no autorizado vulnerabilidad en Pandora FMS permite el descubrimiento de archivos. Esta vulnerabilidad permite a usuarios con privilegios bajos descargar backups de bases de datos. Este problema afecta a Pandora FMS: del 700 al 773. | 21-11-2023 | Esta vulnerabilidad ha sido solucionada en la versión 774-772.2 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-2807 | Vulnerabilidad de omisión de autenticación debido a suplantación en el proceso de regeneración de credenciales de Pandora FMS, podría permitir a un atacante no autenticado iniciar un proceso de restablecimiento de contraseña para cualquier cuenta de usuario sin la autenticación adecuada. Este problema afecta a PandoraFMS v771 y versiones anteriores en todas las plataformas. | 13-06-2023 | Esta vulnerabilidad ha sido solucionada en la versión 772 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-0828 | Cross-site Scripting (XSS) en la sección Syslog de Pandora FMS que podría permitir a un atacante hacer que el valor de la cookie del usuario sea transferido al servidor del usuario atacante. Este problema afecta a la versión v767 de Pandora FMS y versiones anteriores en todas las plataformas. | 17-04-2023 | Esta vulnerabilidad ha sido solucionada en la versión 770 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-24518 | Una vulnerabilidad de Cross-site Request Forgery (CSRF) en Pandora FMS permite a un atacante forzar a usuarios autenticados a enviar una petición a una aplicación web contra la que están autenticados. Este problema afecta a la versión 767 y anteriores de Pandora FMS en todas las plataformas. | 17-04-2023 | Esta vulnerabilidad ha sido solucionada en la versión 770 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-24517 | Vulnerabilidad de subida no restringida de ficheros de tipo peligroso en el componente "File Manager" de Pandora FMS, podría permite a un atacante hacer uso de este problema (subida no restringida de ficheros) para ejecutar comandos arbitrarios del sistema. Este problema afecta a la versión Pandora FMS v767 y anteriores en todas las plataformas. | 22-02-2023 | Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-24516 | Vulnerabilidad de Cross-site Scripting (XSS) en el componente "Special Days" de Pandora FMS permite a un atacante utilizarlo para robar el valor de la cookie de sesión de los usuarios administradores fácilmente con poca interacción del usuario. Este problema afecta a la versión v767 de Pandora FMS y versiones anteriores en todas las plataformas. | 22-02-2023 | Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-24515 | Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el comprobador de API de Pandora FMS. La aplicación no comprueba el esquema de URL utilizado al recuperar la URL de la API. En lugar de validar el esquema http/https, la aplicación permite otros esquemas como file, lo que podría permitir a un usuario malicioso obtener contenido de ficheros internos. Este problema afecta a Pandora FMS v767 y versiones anteriores en todas las plataformas. | 22-02-2023 | Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2023-24514 | Vulnerabilidad de Cross-site Scripting (XSS) en el módulo "Visual Console" de Pandora FMS, podría ser explotada para obtener los valores de las cookies de sesión de los usuarios administradores, realizar ataques de phishing, etc. Este problema afecta a la versión 767 de Pandora FMS y versiones anteriores en todas las plataformas. | 22-02-2023 | Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-47373 | Cross-Site Scripting reflejado en la funcionalidad de búsqueda de la librería de módulos en la consola de Pandora FMS v766 e inferiores. Esta vulnerabilidad surge en la funcionalidad de olvido de contraseña donde el parámetro nombre de usuario no tiene una validación/sanitización de entrada adecuada, resultando en la ejecución de payload JavaScript malicioso. | 20-12-2022 | Esta vulnerabilidad ha sido solucionada en la versión 767 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-47372 | Vulnerabilidad de Cross-Site Scripting almacenada en la sección Crear evento en la Consola de Pandora FMS v766 e inferiores. Un atacante suele explotar esta vulnerabilidad inyectando cargas útiles XSS en páginas populares de un sitio o pasando un enlace a una víctima, engañándola para que vea la página que contiene la carga útil XSS almacenada. | 20-12-2022 | Esta vulnerabilidad ha sido solucionada en la versión 767 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-45437 | Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Un usuario con privilegios de edición puede crear un Payload en el módulo del panel de informes. Un usuario administrador puede observar el Payload sin interacción y el atacante puede obtener información. | 16-11-2022 | Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-45436 | Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Como usuario con privilegios de administrador, crea un mapa de red que contiene el nombre como payload xss. Una vez creado, el usuario administrador debe hacer clic en la edición de mapas de red y se ejecutará el payload XSS, que podría ser utilizado para robar el valor de la cookie de los usuarios administradores. | 16-11-2022 | Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-43980 | Existe una vulnerabilidad de cross-site scripting persistente en Pandora FMS v765, en la funcionalidad de edición de mapas de red. Un atacante podría modificar un mapa de red, incluyendo a propósito el nombre de un payload XSS. Una vez creado, si un usuario con privilegios de administrador hace clic en los mapas de red editados, se ejecutará el payload XSS. La explotación de esta vulnerabilidad podría permitir a un atacante robar el valor de la cookie del usuario con rol de administrador. | 03-11-2022 | Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-43979 | Existe un Path Traversal que conduce a una Inclusión de Archivos Locales en Pandora FMS v764. Se llama a una función para comprobar que el parámetro que el usuario ha insertado no contiene caracteres maliciosos, pero esta comprobación es insuficiente. Un atacante podría insertar una ruta absoluta para superar la comprobación, pudiendo así incluir cualquier fichero PHP que resida en el disco. La explotación de esta vulnerabilidad podría conducir a una ejecución remota de código. | 03-11-2022 | Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-43978 | Existe una vulnerabilidad de autenticación inadecuada en Pandora FMS v764. La aplicación verifica que el usuario tiene una sesión válida cuando no está intentando hacer un login. Como el "secret" es estático en la función generatePublicHash, un atacante con conocimiento de una sesión válida podría abusar de esto para saltarse la comprobación de autenticación. | 03-11-2022 | Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-2059 | En Pandora FMS v7.0NG.761 y anteriores, en la sección de creación de agentes, el parámetro alias es vulnerable a un Stored Cross Site-Scripting. Esta vulnerabilidad puede ser explotada por un atacante con privilegios de administrador registrado en el sistema. | 14-06-2022 | Esta vulnerabilidad ha sido solucionada en la versión 762 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-2032 | En Pandora FMS v7.0NG.761 y anteriores, en la sección del gestor de ficheros, el parámetro dirname es vulnerable a un Stored Cross Site-Scripting. Esta vulnerabilidad puede ser explotada por un atacante con privilegios de administrador registrado en el sistema. | 14-06-2022 | Esta vulnerabilidad ha sido solucionada en la versión 762 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-1648 | Pandora FMS v7.0NG.760 e inferior permite un Relative Path Traversal en el Gestor de Archivos, donde un usuario con privilegios podría subir un archivo .php fuera del directorio de imágenes previsto que está restringido para ejecutar el archivo .php. El impacto podría llevar a una Ejecución Remota de Código. | 13-05-2022 | Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-26310 | Pandora FMS v7.0NG.760 e inferior permite una autorización inadecuada en la Gestión de Usuarios donde cualquier usuario autenticado con acceso al módulo de Gestión de Usuarios puede crear, modificar o eliminar cualquier usuario con privilegio de administrador completo. El impacto podría llevar a una escalada vertical de privilegios para acceder a los privilegios de un usuario de nivel superior o a un usuario administrador. | 13-05-2022 | Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-26309 | Pandora FMS v7.0NG.760 e inferior permite un Cross-Site Request Forgery en la operación Bulk (User operation), lo que resulta en una elevación de privilegios al grupo de administradores. | 13-05-2022 | Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2022-26308 | Pandora FMS v7.0NG.760 e inferior permite un control de acceso inadecuado en Configuración (Almacén de credenciales) donde un usuario con el rol de Operador (Escritura) puede crear, borrar y ver claves existentes que estén fuera del rol previsto. | 13-05-2022 | Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. | Pandora FMS | Análisis externo |
| CVE-2021-46681 | Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "massive operation". | 21-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. | Pandora FMS | Análisis interno |
| CVE-2021-46680 | Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "module form". | 21-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. | Pandora FMS | Análisis interno |
| CVE-2021-46679 | Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "service elements". | 21-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. | Pandora FMS | Análisis interno |
| CVE-2021-46678 | Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "service". | 21-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. | Pandora FMS | Análisis interno |
| CVE-2021-46677 | Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "event filter". | 21-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. | Pandora FMS | Análisis interno |
| CVE-2021-46676 | Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "transactional maps". | 21-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. | Pandora FMS | Análisis interno |
| CVE-2022-0507 | Se ha descubierto una potencial vulnerabilidad de seguridad en la API de Pandora. Rango de versiones afectado de Pandora FMS: todas las versiones de la versión NG hasta OUM 759. Esta vulnerabilidad podría permitir a un atacante con una IP autenticada realizar una inyección SQL. | 10-02-2022 | Esta vulnerabilidad ha sido solucionada en la versión 760 de Pandora FMS. | Pandora FMS | - |
