CRITICAL🇬🇧 English

CVE-2024-13996

Nagios XI — brak unieważniania sesji po zmianie hasła (CVE-2024-13996)

CVSS 9.2v4.0pub. 2025-10-30upd. 2025-11-06

Nagios XI w wersjach przed 2024R1.1.3 nie unieważniał aktywnych sesji użytkownika po zmianie jego hasła, co pozwalało na utrzymanie nieuprawnionego dostępu. Podatność sklasyfikowana jako krytyczna (CVSS 9.2) umożliwia atakującemu kontynuowanie działań w imieniu ofiary nawet po zresetowaniu jej poświadczeń.

Pokaż oryginał (EN)

Nagios XI versions prior to 2024R1.1.3 did not invalidate all other active sessions for a user when that user's password was changed. As a result, any pre-existing sessions (including those potentially controlled by an attacker) remained valid after a credential update. This insufficient session expiration could allow continued unauthorized access to user data and actions even after a password change.

🤖 Analiza AI
Jak działa

Mechanizm zmiany hasła w Nagios XI nie powodował unieważnienia istniejących tokenów/sesji powiązanych z danym kontem użytkownika. Oznacza to, że jeśli atakujący wcześniej przejął aktywną sesję użytkownika, zmiana hasła przez ofiarę nie przerywała tego dostępu. Wszystkie sesje nawiązane przed zmianą hasła pozostawały ważne i w pełni funkcjonalne. Jest to klasyczny przypadek niewystarczającego wygasania sesji (CWE-613 — Insufficient Session Expiration).

Skutki

Atakujący posiadający skradzioną lub przejętą sesję może zachować pełny nieautoryzowany dostęp do konta użytkownika — w tym do jego danych i funkcji systemu monitoringu — nawet po tym, jak ofiara zmieni hasło w celu odebrania dostępu intruzowi.

Mitygacja

Należy zaktualizować Nagios XI do wersji 2024R1.1.3 lub nowszej. Szczegóły patcha dostępne są w oficjalnym changelogu producenta oraz na stronie Nagios Security Advisories (https://www.nagios.com/products/security/#nagios-xi). Jako środek doraźny zaleca się ręczne unieważnienie wszystkich aktywnych sesji podejrzanych kont oraz przegląd logów pod kątem nieautoryzowanego dostępu.

Kogo dotyczy

Nagios XI we wszystkich wersjach przed 2024R1.1.3

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Nagios Xi

    APP
    Nagios
    2024< 2024
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-13997CRITICAL9.4PL ✓ten sam produkt

Nagios XI — privilege escalation do root via Migrate Server

CVE-2024-14003CRITICAL9.4PL ✓ten sam produkt

RCE w Nagios XI poprzez podatność command injection w pluginach NRDP

CVE-2020-36856CRITICAL9.4PL ✓ten sam produkt

Nagios XI — authenticated RCE przez command injection w CCM

CVE-2023-7317CRITICAL9.4PL ✓ten sam produkt

Nagios XI – brak kontroli dostępu w Web SSH Terminal (RCE/ujawnienie danych)

CVE-2024-14005CRITICAL9.4PL ✓ten sam produkt

Command injection w Nagios XI — podatność w Docker Wizard