openITCOCKPIT — это инструмент мониторинга с открытым исходным кодом, созданный для различных механизмов мониторинга. openITCOCKPIT Community Edition до версии 5.5.2 содержит уязвимость внедрения команд, которая позволяет аутентифицированному пользователю с разрешением добавлять или изменять хосты выполнять произвольные команды ОС на серверной части мониторинга. Уязвимость возникает из-за того, что управляемые пользователем атрибуты хоста (в частности, адрес хоста) расширяются в шаблоны команд мониторинга без проверки, экранирования или кавычек. Эти шаблоны позже выполняются механизмом мониторинга (Nagios/Icinga) через оболочку, что приводит к удаленному выполнению кода.
Версия 5.5.2 исправляет проблему.
Показать оригинальное описание (EN)
openITCOCKPIT is an open source monitoring tool built for different monitoring engines. openITCOCKPIT Community Edition prior to version 5.5.2 contains a command injection vulnerability that allows an authenticated user with permission to add or modify hosts to execute arbitrary OS commands on the monitoring backend. The vulnerability arises because user-controlled host attributes (specifically the host address) are expanded into monitoring command templates without validation, escaping, or quoting. These templates are later executed by the monitoring engine (Nagios/Icinga) via a shell, resulting in remote code execution. Version 5.5.2 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1