Centreon < 2.5.4 の複数の脆弱性

high Nessus プラグイン ID 80357

概要

リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションが含まれています。

説明

そのバージョン番号によると、リモートWebサーバーでホスティングされているCentreonアプリケーションは、複数の脆弱性の影響を受けます。

- centreonLog.class.php スクリプトに、「username」パラメーターへのユーザー指定の入力の不適切なサニタイズによる、SQL インジェクションの脆弱性が存在します。リモートの攻撃者は、これを悪用して、バックエンドデータベースで SQL クエリを注入または操作することで、任意のデータを操作または漏洩することができます。

- 情報漏洩脆弱性が存在し、これにより、ローカルの攻撃者が構成ファイルの情報に対するアクセス権を入手することが可能です。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Centreon 2.5.4 以降にアップグレードしてください。

参考資料

https://seclists.org/oss-sec/2014/q4/848

http://www.nessus.org/u?226939f7

http://www.nessus.org/u?256de898

http://www.nessus.org/u?30e00b4b

プラグインの詳細

深刻度: High

ID: 80357

ファイル名: centreon_254.nasl

バージョン: 1.15

タイプ: remote

ファミリー: CGI abuses

公開日: 2015/1/5

更新日: 2025/5/14

設定: パラノイドモードの有効化, 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:centreon:centreon, cpe:/a:merethis:centreon, cpe:/a:merethis:centreon_enterprise_server

必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/Centreon

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/11/27

脆弱性公開日: 2014/11/27

参照情報

BID: 71333