Se han informado vulnerabilidades críticas de Inyección SQL que afectan al software de monitorización de red Nagios XI, que podrían dar lugar a una escalada de privilegios.

La lista de vulnerabilidades se describe a continuación:

• CVE-2023-40933– Inyección SQL en la configuración de banners publicitarios con criticidad Alta con puntuación 8.8, permite a atacantes autenticados con privilegios de configuración de banners publicitarios ejecutar comandos SQL arbitrarios a través del parámetro ID enviado a la función update_banner_message().
• CVE-2023-40934– Inyección SQL en escalada host/servicio en Core Configuration Manager (CCM) con criticidad Alta con puntuación 7.
• CVE-2023-40931– Inyección SQL en banner que reconoce el punto final de criticidad Media con una puntuación de 6,5. Permite a los atacantes autenticados ejecutar comandos SQL arbitrarios a través del parámetro ID en la petición POST a /nagiosxi/admin/banner_message-ajaxhelper.php.
• CVE-2023-40932– Cross-Site Scripting en el componente de logotipo personalizado con criticidad Media con puntuación 5.4. Permite a los atacantes autenticados con acceso al componente del logotipo personalizado inyectar javascript o HTML de su elección a través del campo de texto alternativo. Esto afecta a todas las páginas que contienen la barra de navegación, incluida la página de inicio de sesión, lo que significa que el atacante puede robar credenciales en texto plano.