[TLP:CLEAR] Icinga opravuje 6 zranitelností
Icinga opravuje 6 zranitelností ve svých produktech. Nejzávažnější z nich jsou popsány níže, zbytek naleznete na [1]. Produkty a jejich opravené verze: Icinga Web - 2.12.3 a 2.11.5 Icinga Director - 1.11.4 a 1.10.4 Icinga Reporting - 1.0.3
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství a speciálně vytvořené URL adresy umožněno vykonat útok XSS na Icinga Web. Pro verzi 2.12.2 lze riziko dočasně mitigovat aktivací Content Security Policy (CSP) v nastavení aplikace [1][2][3].
Zranitelnost se nachází v produktu Icinga Web ve verzích (<2.11.5) OR (>=2.12.0 AND <=2.12.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-27404 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-27405 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 3. 2025.
Neautentizovanému vzdálenému útočníkovi je v Icinga Reporting pomocí sociálního inženýrství a speciálně vytvořené šablony vykonat útok stored XSS. Zranitelnost je zneužitelná také automatizovaně při zpracování šablony bezhlavým (headless) prohlížečem, je-li pomocí ní generován report do PDF, což může potenciálně vést k útoku SSRF. Po aktualizaci na opravenou verzi je doporučeno zkontrolovat všechny šablony, případně odstranit podezřelá nastavení [1][4].
Zranitelnost se nachází v produktu Icinga Reporting ve verzích >=0.10.0 AND <=1.0.2.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-27406 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 3. 2025.
Autentizovanému vzdálenému útočníkovi s přístupem do Icinga Director a jeho REST API je na některých endpointech umožněno neoprávněně přistupovat ke specifickým objektům (zná-li jejich identifikátor) a upravovat jejich konfiguraci [1][5]. Není-li možná okamžitá aktualizace na opravenou verzi, je doporučeno dočasně zakázat modul Director pro všechny uživatele kromě administrátora. Seznam zranitelných endpointů naleznete na [1].
Zranitelnost se nachází v produktu Icinga Director ve verzích (>=1.0.0 AND <1.10.3) OR (>=1.11.0 AND <1.11.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:N
Více informací:
- CVE-2025-23203 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 3. 2025.
Odkazy
- [1] https://icinga.com/blog/icinga-security-releases-web-q1-2025/
- [2] https://github.com/Icinga/icingaweb2/security/advisories/GHSA-3x37-fjc3-ch8w
- [3] https://github.com/Icinga/icingaweb2/security/advisories/GHSA-c6pg-h955-wf66
- [4] https://github.com/Icinga/icingaweb2-module-reporting/security/advisories/GHSA-7qvq-54vm-r7hx
- [5] https://github.com/Icinga/icingaweb2-module-director/security/advisories/GHSA-3233-ggc5-m3qg
Za CESNET-CERTS Michaela Ručková dne 26. 3. 2025.
