09 Sep. 19 CVE

Vulnérabilité Injection de Commande
authentifiée sur Centreon

découverte par Certilience

Une vulnérabilité dans la page de configuration de l’interface d’administration de Centreon, découverte par notre auditeur Sammy Forgit, vient d’être corrigée et crédité à Certilience.

Titre

[CVE-2019-15298] Vulnérabilité Injection de Commande authentifiée sur Centreon

Risque

Pris de contrôle à distance

Systèmes affectés

Centreon Web 19.04.3

Description

Un problème a été constaté sur Centreon 19.04.3 et les versions antérieures. Une injection de commande est présente dans la page include/configuration/configObject/traps-mibs/formMibs.php. Cette page est directement appelée depuis l’interface d’administration de Centreon.

C’est la fonctionnalité de gestion des mibs qui contient un formulaire de dépôt de fichier. Au moment de la soumission du fichier le paramètre mnftr est envoyé à la page et n’est pas filtré correctement, il permet d’injecter directement des commandes linux.

Solution

Mise à jour en version Centreon Web 19.04.4

Historique

2019-08-05 : Découverte de la vulnérabilité

2019-08-07 : Communication à Centreon de la vulnérabilité

2019-11-29 : Mise à disposition du correctif

2019-12-09 : Publication de la vulnérabilité par Certilience

Références

CVE-2019-15298
https://documentation.centreon.com/docs/centreon/en/latest/release_notes/centreon-19.04.html
https://github.com/centreon/centreon/pull/8023
CVSS Score : 9.1

Crédits

Sammy FORGIT – Certilience (https://www.certilience.fr)

Mots-clés : sécurisation

Vulnérabilité Injection de Commandeauthentifiée sur Centreon