开源IT监视系统被修补
IT监控系统的Web控制面板中的一对漏洞ICingA为甚至未经身份beplay体育能用吗验证的攻击者创建了一条路线php代码和劫机系统。
最近已解决的与网络相关的漏洞 - 均由Sbeplay体育能用吗onarsource的安全研究人员发现 - 涉及两个路径遍历漏洞和缺陷,可以从管理员界面执行任意PHP代码。
剥削的途径
CVE-2022-24716是Icinga Web 2和beplay体育能用吗CVE-2022-24715是一个单独的路径遍历错误,还可以利用PHP的行为来验证SSH键空字节。PHP漏洞位于OpenSSL核心扩展中。
这些不同漏洞Sonarsource警告说,可以很容易地将其链接在一起以妥协服务器。
补丁已发布,并建议对ICINGA Web版本2.8.6、2.9.6和2.10进行更新。beplay体育能用吗建议用户更新其安装,并旋转凭据作为额外的预防措施。
Icinga提供开源IT监视各种插件随附的系统,可用于监视网络流量,磁盘空间或在受监视主机上运行的服务。
漏洞源于该技术的Web控制面板中的编码缺陷,该缺陷被称为Icinga Web 2。beplay体育能用吗
丰富的选择
路径遍历漏洞意味着攻击者可以访问Web服务器用户可访问的内容和本地系统文件的内容,包括beplay体育能用吗Icingabeplay体育能用吗web2带有数据库凭据的配置文件。
CVE-2022-24715漏洞可以导致从管理接口执行任意PHP代码
正如在Sonarsource的技术博客文章本周,如果攻击者可以通过首先披露配置文件并修改管理员的密码,则可以“轻松地(轻松地)(轻松地将[一起)链接在一起,从未经验证的位置损害服务器”。
每日swbeplay2018官网ig询问Sonarsource是否可能在野外滥用漏洞,以及其发现提供给其他软件开发人员的课程。
尚未回来,但我们将在更多信息中介绍此故事时更新此故事。