Vulnerabilidad en Icinga 2 (CVE-2025-48057)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/05/2025
Última modificación:
28/05/2025
Descripción
Icinga 2 es un sistema de monitorización que comprueba la disponibilidad de los recursos de red, notifica a los usuarios sobre interrupciones y genera datos de rendimiento para la generación de informes. En versiones anteriores a las 2.12.12, 2.13.12 y 2.14.6, la función VerifyCertificate() podía ser manipulada para que tratara incorrectamente los certificados como válidos. Esto permite a un atacante enviar una solicitud de certificado maliciosa que se trata como una renovación de un certificado ya existente, lo que permite al atacante obtener un certificado válido que puede usar para suplantar nodos de confianza. Esto solo ocurre cuando Icinga 2 se compila con OpenSSL anterior a la versión 1.1.0. Este problema se ha corregido en las versiones 2.12.12, 2.13.12 y 2.14.6.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/Icinga/icinga2/commit/34c93a2542bbe4e9886d15bc17ec929ead1aa152
- https://github.com/Icinga/icinga2/commit/4023128be42b18a011dda71ddee9ca79955b89cb
- https://github.com/Icinga/icinga2/commit/60f75f4a3d5cbb234eb3694ba7e9076a1a5b8776
- https://github.com/Icinga/icinga2/commit/9ad5683aab9eb392c6737ff46c830a945c9e240f
- https://github.com/Icinga/icinga2/commit/9b2c05d0cc09210bdeade77cf9a73859250fc48d
- https://github.com/Icinga/icinga2/security/advisories/GHSA-7vcf-f5v9-3wr6