Vulnerabilidad en openITCOCKPIT (CVE-2026-24892)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

20/02/2026

Última modificación:

02/03/2026

Descripción

openITCOCKPIT es una herramienta de monitoreo de código abierto construida para diferentes motores de monitoreo como Nagios, Naemon y Prometheus. openITCOCKPIT Community Edition 5.3.1 y anteriores contiene un patrón de deserialización PHP inseguro en el procesamiento de entradas de registro de cambios. Datos de registro de cambios serializados derivados del estado de la aplicación influenciado por el atacante se deserializan sin restringir las clases permitidas. Aunque no se encontró ningún punto final de aplicación actual que introdujera objetos PHP en esta ruta de datos, la presencia de una llamada unserialize() sin restricciones constituye una vulnerabilidad de inyección de objetos PHP latente. Si futuros cambios de código, complementos o refactorizaciones introducen valores de objeto en esta ruta, la vulnerabilidad podría volverse inmediatamente explotable con impacto severo, incluyendo potencial ejecución remota de código.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto