Vulnérabilités dans Centreon
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans Centreon, un outil de supervision de réseaux. Elles peuvent permettre à un attaquant distant d’injecter du script ou code malveillant sur un système vulnérable.
CVE-2020-10946 [Score CVSS v3 : 6.1] : Une vulnérabilité de type cross-site scripting (XSS) dans Centreon peut permettre à un attaquant d’injecter du script arbitraire HTML ou Javascript via le paramètre page de service-monitoring/src/index.php.
CVE-2020-13627 [Score CVSS v3 : 6.1] : Une vulnérabilité de type cross-site scripting (XSS) dans Centreon peut permettre à un attaquant d’injecter du script arbitraire HTML ou Javascript via le paramètre widgetid de service-monitoring/src/index.php.
CVE-2020-13628 [Score CVSS v3 : 6.1] : Une vulnérabilité de type cross-site scripting (XSS) dans Centreon peut permettre à un attaquant d’injecter du script arbitraire HTML ou Javascript via le paramètre widgetid de host-monitoring/src/toolbar.php.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de script malveillant
Criticité
- Score CVSS v3 : 6.1
Existence d’un code d’exploitation
- Des preuves de concept sont disponibles publiquement
Composants vulnérables
- Widget host-monitoring: < 1.6.4, < 18.10.3, < 19.04.3, < 19.0.1
- Widget service-monitoring : < 1.6.4, < 18.10.5, < 19.04.3, < 19.10.2
- Widget tactical-overview : < 1.0.3, < 18.10.1, < 19.04.1, < 19.10.1
CVE
- CVE-2020-10946
- CVE-2020-13627
- CVE-2020-13628
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour vers les versions suivantes :
Widget host-monitoring: 1.6.4, 18.10.3, 19.04.3 or 19.0.1
Widget service-monitoring: 1.6.4, 18.10.5, 19.04.3 or 19.10.2
Widget tactical-overview: 1.0.3, 18.10.1, 19.04.1 or 19.10.1
Solution de contournement
Aucune solution de contournement n’est disponible