検出

Centreon 2.6.x < 2.6.5 の複数の脆弱性

medium Nessus プラグイン ID 87053

Language:

概要

リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションが含まれています。

説明

そのバージョン番号によると、リモートの Web サーバーでホストされている Centreonアプリケーションは、2.6.5 より前のバージョン 2.6.x です。したがって、以下の複数の脆弱性による影響を受けます。

 - main.php スクリプトにクロスサイトリクエスト偽装(XSRF)の脆弱性が存在します。リモートの攻撃者がこれを悪用し、ユーザーに悪意のある Web サイトのリンクにアクセスさせ、管理アクションを実行させる可能性があります。

 - POST「persistent」パラメーターに対するユーザー指定の入力が不適切にサニタイズされているため、main.php スクリプトに欠陥が存在します。認証されたリモートの攻撃者がこれを悪用し、任意のシェルコマンドを実行する可能性があります。

 - 「img_comment」POST パラメーターに対するユーザー指定の入力が不適切にサニタイズされているため、main.php スクリプトにクロスサイトスクリプティングの脆弱性が存在します。
 認証されたリモートの攻撃者がこれを悪用し、細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Centreon バージョン 2.6.5 またはそれ以降にアップグレードしてください。

参考資料

https://github.com/centreon/

http://www.nessus.org/u?a9f1c3d2

http://www.nessus.org/u?f7aec14c

http://www.nessus.org/u?cebce424

プラグインの詳細

深刻度: Medium

ID: 87053

ファイル名: centreon_265.nasl

バージョン: 1.10

タイプ: remote

ファミリー: CGI abuses

公開日: 2015/11/24

更新日: 2022/4/11

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 5.4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:centreon:centreon, cpe:/a:merethis:centreon

必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/Centreon

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/10/21

脆弱性公開日: 2015/9/26