Исправлены критические уязвимости в сервере журналов Nagios Log Server

Команда безопасности Nagios исправила три критические уязвимости, затрагивающие популярную платформу для управления и анализа корпоративных журналов Nagios Log Server.

Уязвимости, обнаруженные и сообщенные исследователями безопасности Сетом Крафтом и Алексом Тисдейлом, включают:

Уязвимости

  1. Хранимая XSS-уязвимость (CVE-2025-29471) в веб-интерфейсе Nagios Log Server, которая позволяет стандартному (с низкими привилегиями) пользователю внедрить вредоносную полезную нагрузку JavaScript в поле „email“ своего профиля, чтобы добиться повышения привилегий.
    Когда администратор просматривает журналы аудита, скрипт выполняется, что приводит к повышению привилегий за счет несанкционированного создания учетной записи администратора. В определенных конфигурациях уязвимость может быть задействована для удаленного выполнения кода (RCE).

    - говорит Крафт
  2. DoS-уязвимость (CVE ожидается), которая может позволить пользователям, не являющимся администраторами, отключить Elasticsearch – зависимость кода Nagion Log Server – через API.
    Если Elasticsearch остановлен, журналы не могут быть проиндексированы, оповещения не могут быть сгенерированы, а поиск исторических данных не работает

    - пояснил Крафт
  3. Уязвимость раскрытия информации (CVE ожидается), которая позволяет любому низкоуровневому пользователю (с доступом к API только для чтения) выполнить API-запрос get_users и получить API-ключи (токены) для всех пользователей, имеющих доступ только для чтения, и администраторов в открытом виде.
    Этот недостаток позволяет перечислить пользователей, повысить привилегии и полностью скомпрометировать систему через несанкционированное использование открытых токенов

    - отметил Тисдейл

Доступны исправления и PoC-эксплойты

Уязвимости затрагивают Nagios Log Server версии 2024R1.3.1 и были исправлены в:

Пользователи, планирующие перейти на Nagios Log Server 2024R2, должны знать, что это полностью новая версия, с новой фронтенд и бэкэнд частью, и что в связи с этим обновление с 2024R1 до 2024R2 невозможно.

Несмотря на то, что сервера с Nagios Log Server редко выходят в интернет, а три уязвимости могут быть использованы только аутентифицированными злоумышленниками, а эксплойты proof-of-concept (PoC) для двух из них уже опубликованы, организациям все же следует как можно скорее обновить или перейти на исправленную версию.

Интересно: Google исправляет нулевой день в Android

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи
В CrushFTP найдена и исправлена критическая уязвимость CVE-2025-2825
Как повысить безопасность Linux утилитой Pledge от OpenBSD?
Google исправляет нулевой день в Android

Комментарии (0)