Vulnérabilités dans Centreon

Date de publication :

Des vulnérabilités ont été découvertes dans le logiciel de supervision informatique Centreon. Un attaquant distant exploitant celles-ci peut obtenir des informations sensibles via des appels non-authentifiés à des URL non-protégées, effectuer des injections SQL pour prendre le contrôle de la base de données, ou encore effectuer une attaque CSRF pour forcer l’exécution de code contrôlé par l’attaquant.

CVE-2019-17643, CVE-2019-17644, CVE-2019-17645, CVE-2019-17646 [Score CVSS v3 : 7.5] : De multiples vulnérabilités ont été découvertes dans de multiples branches de Centreon. Un attaquant distant peut effectuer une requête vers des URL non-protégées, obtenant de cette façon des informations sensibles.

CVE-2019-17642 [Score CVSS v3 : 8.8] : Une vulnérabilité de type CSRF a été découverte dans Centreon. Un attaquant distant peut insérer des méta-caractères shell dans une requête POST, résultant en une exécution de commandes arbitraires.

CVE-2019-17647 [Score CVSS v3 : 9.8] : Une vulnérabilité de type injection SQL a été découverte dans Centreon. Un attaquant distant peut exploiter cette faille afin de prendre partiellement le contrôle de la base de données en lecture et en écriture.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Divulgation d’informations sensibles
  • Perte d’intégrité et de confidentialité des données en base de données (injection SQL)
  • Exécution de commandes (CSRF)

Criticité

  • Score CVSS v3 : 9.8 maximum

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement pour l’instant. Les informations sur les vulnérabilités de divulgation d’information sont cependant suffisantes pour réaliser une exploitation immédiate.

Composants vulnérables

  • Centreon 2.8 jusqu’à (non-inclus) : 
    • 2.8.30 (CVE-2019-17643, CVE-2019-17644, CVE-2019-17647)
    • 2.8.31 (CVE-2019-17645)
  • Centreon 18.10 jusqu’à (non-inclus) : 
    • 18.10.8 (CVE-2019-17642, CVE-2019-17643, CVE-2019-17644, CVE-2019-17647, CVE-2019-17646)
    • 18.10.9 (CVE-2019-17645)
  • Centreon 19.04 jusqu’à (non-inclus) : 
    • 19.04.2 (CVE-2019-17642)
    • 19.04.5 (CVE-2019-17646, CVE-2019-17643, CVE-2019-17644, CVE-2019-17647)
    • 19.04.6 (CVE-2019-17645)
  • Centreon 19.10 jusqu’à (non-inclus) : 
    • 19.10.1 (CVE-2019-17642)
    • 19.10.2 (CVE-2019-17646, CVE-2019-17643, CVE-2019-17644, CVE-2019-17647)
    • 19.10.3 (CVE-2019-17645)

CVE

  • CVE-2019-17643
  • CVE-2019-17644
  • CVE-2019-17645
  • CVE-2019-17646
  • CVE-2019-17642
  • CVE-2019-17647

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Centreon vers une version non-vulnérable (voir liste des composants vulnérables)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens