L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Centreon

alerte de vulnérabilité 27031

Centreon Web : injection SQL via Metrics RPN

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL via Metrics RPN de Centreon Web, afin de lire ou modifier des données.
Produits concernés : Centreon.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2018.
Références : VIGILANCE-VUL-27031.

Description de la vulnérabilité

Le produit Centreon Web utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL via Metrics RPN de Centreon Web, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 17996

Centreon : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Centreon.
Produits concernés : Centreon.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/09/2015.
Références : VIGILANCE-VUL-17996, ZSL-2015-5263, ZSL-2015-5264, ZSL-2015-5265, ZSL-2015-5266.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Centreon.

Un attaquant peut provoquer un Cross Site Request Forgery dans Centreon, afin de forcer la victime à effectuer des opérations. [grav:2/4; ZSL-2015-5263]

Un attaquant peut uploader un fichier malveillant via Centreon, afin par exemple de déposer un Cheval de Troie. [grav:3/4; ZSL-2015-5264]

Un attaquant peut injecter des commandes shell, afin d'exécuter du code. [grav:3/4; ZSL-2015-5265]

Un attaquant peut provoquer un Cross Site Scripting dans Centreon via img_comment, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; ZSL-2015-5266]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-1560 CVE-2015-1561

Merethis Centreon : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Merethis Centreon.
Produits concernés : Centreon.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, lecture de données, création/modification de données, effacement de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/07/2015.
Références : CVE-2015-1560, CVE-2015-1561, VIGILANCE-VUL-17327.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Merethis Centreon.

Un attaquant peut provoquer une injection SQL dans GetXMLTree.php via le paramètre sid, afin de lire ou modifier des données. [grav:2/4; CVE-2015-1560]

Un attaquant peut injecter une commande shell dans la page getStats.php via le paramètre ns_id, afin d'exécuter du code. [grav:3/4; CVE-2015-1561]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 15720

Centreon : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Centreon.
Produits concernés : Centreon.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/11/2014.
Date révision : 28/11/2014.
Références : VIGILANCE-VUL-15720.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Centreon.

Un attaquant non authentifié peut injecter une chaîne dans une ligne de commande shell de www/class/centreonLog.class.php, afin d'exécuter une commande. [grav:3/4]

Un attaquant local peut utiliser /usr/sbin/centengine, pour lire les fichiers avec les privilèges root, afin d'obtenir des informations sensibles. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-3828 CVE-2014-3829

Centreon : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Centreon.
Produits concernés : Centreon.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/10/2014.
Références : CVE-2014-3828, CVE-2014-3829, VIGILANCE-VUL-15506, VU#298796.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Centreon.

Un attaquant peut provoquer une injection SQL dans GetXMLTrapsForVendor.php, afin de lire ou modifier des données. [grav:3/4; CVE-2014-3828]

Un attaquant peut provoquer une injection SQL dans cmdGetExample.php, afin de lire ou modifier des données. [grav:3/4; CVE-2014-3828]

Un attaquant peut provoquer une injection SQL dans GetXmlTree.php, afin de lire ou modifier des données. [grav:2/4; CVE-2014-3828]

Un attaquant peut provoquer une injection SQL dans displayServiceStatus.php, afin de lire ou modifier des données. [grav:2/4; CVE-2014-3828]

Un attaquant peut provoquer une injection SQL dans makeXML_ListMetrics.php, afin de lire ou modifier des données. [grav:2/4; CVE-2014-3828]

Un attaquant peut provoquer l'exécution d'une commande shell arbitraire via la page displayServiceStatus.php, afin d'exécuter du code. [grav:3/4; CVE-2014-3829]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2012-5967

Centreon : injection de SQL via une requête HTTP

Synthèse de la vulnérabilité

Un attaquant peut insérer des instructions SQL dans un paramètre de requête HTTP, afin de contourner les restrictions d'accès à la base de données.
Produits concernés : Centreon.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/12/2012.
Références : BID-56911, CVE-2012-5967, VIGILANCE-VUL-12232, VU#856892.

Description de la vulnérabilité

Le produit Centreon contient une application Web.

La page menuXML.php de cette application définit un paramètre de requête appelée menu. Cependant, l'application ne valide pas correctement la valeur reçue du client HTTP, ce qui permet à un attaquant de modifier la requête SQL envoyée par l'application.
Il s'agit d'une injection en aveugle : l'attaquant ne reçoit pas la réponse de la base de données.

Un attaquant peut donc insérer des instructions SQL dans un paramètre de requête HTTP, afin de contourner les restrictions d'accès à la base de données.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 9601

Centreon : injection SQL dans ping

Synthèse de la vulnérabilité

Un attaquant authentifié peut injecter des commandes SQL dans l'outil ping ou traceroute de Centreon.
Produits concernés : Centreon.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/04/2010.
Références : VIGILANCE-VUL-9601.

Description de la vulnérabilité

Le produit Centreon comporte deux outils pour vérifier si une machine est joignable :
 - www/include/tools/ping.php
 - www/include/tools/traceroute.php

L'utilisateur doit saisir l'adresse IP ou le nom de la machine à joindre. Cependant, cette variable ("host") n'est pas filtrée avant d'être utilisée dans ping/traceroute et journalisée dans la base.

Un attaquant authentifié peut donc injecter des commandes SQL dans l'outil ping ou traceroute de Centreon.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Centreon :