Vigil@nce - Centreon : exécution de code via useralias
septembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant non authentifié peut employer un champ "useralias"
malveillant sur Centreon, afin d’exécuter du code shell.
Produits concernés : Centreon.
Gravité : 2/4.
Date création : 28/07/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Centreon dispose d’un service web, avec un formulaire
d’authentification.
Cependant, le paramètre "useralias" est directement injecté dans
une commande shell.
Un attaquant non authentifié peut donc employer un champ
"useralias" malveillant sur Centreon, afin d’exécuter du code
shell.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Centreon-execution-de-code-via-useralias-20248