CRITICAL🇬🇧 English

CVE-2020-36856

Nagios XI — authenticated RCE przez command injection w CCM

CVSS 9.4v4.0pub. 2025-10-30upd. 2025-11-05

Nagios XI w wersjach wcześniejszych niż 5.6.14 zawiera podatność umożliwiającą uwierzytelnionemu użytkownikowi zdalne wykonanie dowolnych poleceń systemowych poprzez skrypt command_test.php w module Core Config Manager. Skuteczne wykorzystanie podatności może prowadzić do pełnego przejęcia kontroli nad hostem.

Pokaż oryginał (EN)

Nagios XI versions prior to 5.6.14 contain an authenticated remote command execution vulnerability in the CCM command_test.php script. Insufficient validation of the `address` parameter allows an authenticated user with access to the Core Config Manager to inject shell metacharacters that are incorporated into backend command invocations. Successful exploitation enables arbitrary command execution with the privileges of the Nagios XI web application user and may be leveraged to execute commands on the underlying XI host, modify system configuration, or fully compromise the host.

🤖 Analiza AI
Jak działa

Skrypt CCM command_test.php nie waliduje wystarczająco parametru `address` przekazywanego przez użytkownika. Atakujący posiadający dostęp do Core Config Manager może wstrzyknąć metaznaki powłoki (shell metacharacters) do wartości tego parametru. Wstrzyknięte znaki są następnie przekazywane bezpośrednio do wywołań poleceń w warstwie backendowej aplikacji, co prowadzi do ich wykonania przez powłokę systemową. Podatność sklasyfikowana jest jako CWE-78 (command injection).

Skutki

Atakujący może wykonywać dowolne polecenia z uprawnieniami konta użytkownika aplikacji webowej Nagios XI, co może umożliwić modyfikację konfiguracji systemu lub pełne przejęcie kontroli nad hostem.

Mitygacja

Należy zaktualizować Nagios XI do wersji 5.6.14 lub nowszej. Szczegóły patcha dostępne są w oficjalnym changelogu producenta pod adresem https://www.nagios.com/changelog/nagios-xi/ oraz na stronie bezpieczeństwa Nagios.

Kogo dotyczy

Nagios XI w wersjach wcześniejszych niż 5.6.14

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Nagios Xi

    APP
    Nagios
    < 5.6.14
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-13997CRITICAL9.4PL ✓ten sam produkt

Nagios XI — privilege escalation do root via Migrate Server

CVE-2024-14003CRITICAL9.4PL ✓ten sam produkt

RCE w Nagios XI poprzez podatność command injection w pluginach NRDP

CVE-2023-7317CRITICAL9.4PL ✓ten sam produkt

Nagios XI – brak kontroli dostępu w Web SSH Terminal (RCE/ujawnienie danych)

CVE-2024-13996CRITICAL9.2PL ✓ten sam produkt

Nagios XI — brak unieważniania sesji po zmianie hasła (CVE-2024-13996)

CVE-2024-14005CRITICAL9.4PL ✓ten sam produkt

Command injection w Nagios XI — podatność w Docker Wizard