Vulnerabilidad en los archivos archivejson.cgi, objectjson.cgi y statusjson.cgi en el ajuste de configuración "URL for JSON CGI" en Nagios (CVE-2020-13977)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/06/2020
Última modificación:
07/11/2023
Descripción
Nagios versión 4.4.5, permite a un atacante, que presenta acceso administrativo, cambiar el ajuste de configuración "URL for JSON CGI", para modificar el código de Alert Histogram y Trends por medio de las versiones diseñadas de los archivos archivejson.cgi, objectjson.cgi y statusjson.cgi. NOTA: esta vulnerabilidad ha sido erróneamente asociada con CVE-2020-1408
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nagios:nagios:4.4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://anhtai.me/nagios-core-4-4-5-url-injection/
- https://github.com/sawolf/nagioscore/tree/url-injection-fix
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5P6NHNG2SJAM6DXVTXQH3AOJ4WQVKJUE/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/H7T6MSDWMBJEVVFSOK7DOYJJWDAFQCEQ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JUEIABR4Y6L5J5MZDFWU46ZWXMJO64U3/
- https://www.nagios.org/projects/nagios-core/history/4x/