Für drei Sicherheitslücken in der Netzwerk- und Host-Überwachungssoftware Nagios XI gibt es bislang keine Sicherheitsupdates. Angreifer könnten IT-Infrastrukturen attackieren und eigene Befehle ausführen. Attacken sind aber nicht ohne Weiteres möglich.
Alle drei Lücken sind mit dem Bedrohungsgrad "mittel" eingestuft. Sicherheitsforscher von IBM nennen in den Warnmeldungen keine CVE-Nummern. Ihnen zufolge ist die Version 5.6.11 von den Lücken betroffen. Durch das Ausnutzen einer SQL-Injection-Schwachstelle soll ein entfernter Angreifer ohne Anmeldung Daten in der Backend-Datenbank manipulieren können.
Für das Ausnutzen der beiden anderen Lücken muss ein Angreifer über Zugriffsrechte verfügen. Er könnte dann über das Versenden von präparierten Anfragen Schadcode auf Systemen aufführen.
Was sagt Nagios dazu?
Ein Sprecher von Nagios versicherte gegenüber heise Security, dass sie die Schwachstellen derzeit untersuchen. Wann Sicherheitspatches erscheinen, bleibt aber weiterhin unklar. Auf der offiziellen Changelog-Seite ist von den Lücken noch nichts zu finden.
- Nagios XI orderby SQL injection
- Nagios XI address code execution
- Nagios XI multiple code execution