В системе мониторинга Centreon обнаружены критические уязвимости

Во всех версиях свободной системы мониторинга Centreon, выпущенных с 2008 года (с 2.0 по 2.5.2 включительно), выявлены критические уязвимости, которые могут быть эксплуатированы без прохождения аутентификации любым анонимным пользователем:

1. CVE-2014-3828 — возможность подстановки SQL-запросов. Проблема эксплуатируется через передачу POST-запросов к публично доступным скриптам.

2. CVE-2014-3829 — возможность удалённого выполнения команд на сервере. Для работы эксплоита требуется чтобы после атаки, хотя бы один аутентифицированный пользователь обратился к web-интерфейсу. Техника атаки сводится к передаче специально оформленного запроса к скрипту displayServiceStatus.php, который приводит к помещению в БД данных, которые будут переданы в качестве аргумента при построении графика без выполнения операций экранирования спецсимволов.