CRITICAL🇬🇧 English

CVE-2024-14003

RCE w Nagios XI poprzez podatność command injection w pluginach NRDP

CVSS 9.4v4.0pub. 2025-10-30upd. 2025-11-06

Nagios XI w wersjach wcześniejszych niż 2024R1.2 jest podatne na zdalne wykonanie kodu (RCE) za pośrednictwem pluginów serwera NRDP. Podatność jest krytyczna, ponieważ uwierzytelniony atakujący sieciowy może wykonać dowolne polecenia systemowe na serwerze hostującym aplikację.

Pokaż oryginał (EN)

Nagios XI versions prior to 2024R1.2 are vulnerable to remote code execution (RCE) through its NRDP (Nagios Remote Data Processor) server plugins. Insufficient validation of inbound NRDP request parameters allows crafted input to reach command execution paths, enabling attackers to execute arbitrary commands on the underlying host in the context of the web/Nagios service.

🤖 Analiza AI
Jak działa

Serwer NRDP (Nagios Remote Data Processor) niewystarczająco waliduje parametry przychodzących żądań. Spreparowane dane wejściowe przesyłane do endpointu NRDP trafiają do ścieżek wykonania poleceń systemowych bez odpowiedniego oczyszczenia. W rezultacie atakujący może wstrzyknąć własne polecenia (command injection, CWE-78), które zostaną wykonane w kontekście procesu usługi web/Nagios na serwerze.

Skutki

Atakujący może wykonać dowolne polecenia na poziomie systemu operacyjnego serwera w kontekście konta usługi Nagios, co może prowadzić do przejęcia pełnej kontroli nad systemem monitoringu, wycieku danych konfiguracyjnych oraz lateral movement w sieci.

Mitygacja

Należy niezwłocznie zaktualizować Nagios XI do wersji 2024R1.2 lub nowszej. Szczegóły dotyczące patcha dostępne są w referencjach producenta: https://www.nagios.com/changelog/nagios-xi/ oraz https://www.nagios.com/products/security/#nagios-xi

Kogo dotyczy

Nagios XI we wszystkich wersjach wcześniejszych niż 2024R1.2

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Nagios Xi

    APP
    Nagios
    2024< 2024
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2024-13997CRITICAL9.4PL ✓ten sam produkt

Nagios XI — privilege escalation do root via Migrate Server

CVE-2024-13996CRITICAL9.2PL ✓ten sam produkt

Nagios XI — brak unieważniania sesji po zmianie hasła (CVE-2024-13996)

CVE-2020-36856CRITICAL9.4PL ✓ten sam produkt

Nagios XI — authenticated RCE przez command injection w CCM

CVE-2023-7317CRITICAL9.4PL ✓ten sam produkt

Nagios XI – brak kontroli dostępu w Web SSH Terminal (RCE/ujawnienie danych)

CVE-2024-14005CRITICAL9.4PL ✓ten sam produkt

Command injection w Nagios XI — podatność w Docker Wizard