Добавить в корзинуПозвонить
Найти в Дзене
ITShaman
712 подписчиков

Исправлены критические уязвимости в сервере журналов Nagios Log Server

2 мин
Команда безопасности Nagios исправила три критические уязвимости, затрагивающие популярную платформу для управления и анализа корпоративных журналов Nagios Log Server.
Оглавление

Команда безопасности Nagios исправила три критические уязвимости, затрагивающие популярную платформу для управления и анализа корпоративных журналов Nagios Log Server.

Уязвимости, обнаруженные и сообщенные исследователями безопасности Сетом Крафтом и Алексом Тисдейлом, включают:

Уязвимости

  1. - говорит КрафтХранимая XSS-уязвимость (CVE-2025-29471) в веб-интерфейсе Nagios Log Server, которая позволяет стандартному (с низкими привилегиями) пользователю внедрить вредоносную полезную нагрузку JavaScript в поле „email“ своего профиля, чтобы добиться повышения привилегий.Когда администратор просматривает журналы аудита, скрипт выполняется, что приводит к повышению привилегий за счет несанкционированного создания учетной записи администратора. В определенных конфигурациях уязвимость может быть задействована для удаленного выполнения кода (RCE).
  2. - пояснил КрафтDoS-уязвимость (CVE ожидается), которая может позволить пользователям, не являющимся администраторами, отключить Elasticsearch – зависимость кода Nagion Log Server – через API.Если Elasticsearch остановлен, журналы не могут быть проиндексированы, оповещения не могут быть сгенерированы, а поиск исторических данных не работает
  3. - отметил ТисдейлУязвимость раскрытия информации (CVE ожидается), которая позволяет любому низкоуровневому пользователю (с доступом к API только для чтения) выполнить API-запрос get_users и получить API-ключи (токены) для всех пользователей, имеющих доступ только для чтения, и администраторов в открытом виде.Этот недостаток позволяет перечислить пользователей, повысить привилегии и полностью скомпрометировать систему через несанкционированное использование открытых токенов

Доступны исправления и PoC-эксплойты

Уязвимости затрагивают Nagios Log Server версии 2024R1.3.1 и были исправлены в:

  • Версия 2024R2 (выпущена 19 марта 2025 года)
  • Версия 2024R1.3.2 (выпущена 9 апреля 2025 года)

Пользователи, планирующие перейти на Nagios Log Server 2024R2, должны знать, что это полностью новая версия, с новой фронтенд и бэкэнд частью, и что в связи с этим обновление с 2024R1 до 2024R2 невозможно.

Несмотря на то, что сервера с Nagios Log Server редко выходят в интернет, а три уязвимости могут быть использованы только аутентифицированными злоумышленниками, а эксплойты proof-of-concept (PoC) для двух из них уже опубликованы, организациям все же следует как можно скорее обновить или перейти на исправленную версию.

Подробнее