CVE coordinados

CVE Descripción de la vulnerabilidad Fecha de publicación Solución CNA asignador Reportado por:
CVE-2022-45437 Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Un usuario con privilegios de edición puede crear un Payload en el módulo del panel de informes. Un usuario administrador puede observar el Payload sin interacción y el atacante puede obtener información. 16-11-2022 Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-45436 Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Como usuario con privilegios de administrador, crea un mapa de red que contiene el nombre como payload xss. Una vez creado, el usuario administrador debe hacer clic en la edición de mapas de red y se ejecutará el payload XSS, que podría ser utilizado para robar el valor de la cookie de los usuarios administradores. 16-11-2022 Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-43980 Existe una vulnerabilidad de cross-site scripting persistente en Pandora FMS v765, en la funcionalidad de edición de mapas de red. Un atacante podría modificar un mapa de red, incluyendo a propósito el nombre de un payload XSS. Una vez creado, si un usuario con privilegios de administrador hace clic en los mapas de red editados, se ejecutará el payload XSS. La explotación de esta vulnerabilidad podría permitir a un atacante robar el valor de la cookie del usuario con rol de administrador. 03-11-2022 Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-43979 Existe un Path Traversal que conduce a una Inclusión de Archivos Locales en Pandora FMS v764. Se llama a una función para comprobar que el parámetro que el usuario ha insertado no contiene caracteres maliciosos, pero esta comprobación es insuficiente. Un atacante podría insertar una ruta absoluta para superar la comprobación, pudiendo así incluir cualquier fichero PHP que resida en el disco. La explotación de esta vulnerabilidad podría conducir a una ejecución remota de código. 03-11-2022 Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-43978 Existe una vulnerabilidad de autenticación inadecuada en Pandora FMS v764. La aplicación verifica que el usuario tiene una sesión válida cuando no está intentando hacer un login. Como el "secret" es estático en la función generatePublicHash, un atacante con conocimiento de una sesión válida podría abusar de esto para saltarse la comprobación de autenticación. 03-11-2022 Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-2059 En Pandora FMS v7.0NG.761 y anteriores, en la sección de creación de agentes, el parámetro alias es vulnerable a un Stored Cross Site-Scripting. Esta vulnerabilidad puede ser explotada por un atacante con privilegios de administrador registrado en el sistema. 14-06-2022 Esta vulnerabilidad ha sido solucionada en la versión 762 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-2032 En Pandora FMS v7.0NG.761 y anteriores, en la sección del gestor de ficheros, el parámetro dirname es vulnerable a un Stored Cross Site-Scripting. Esta vulnerabilidad puede ser explotada por un atacante con privilegios de administrador registrado en el sistema. 14-06-2022 Esta vulnerabilidad ha sido solucionada en la versión 762 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-1648 Pandora FMS v7.0NG.760 e inferior permite un Relative Path Traversal en el Gestor de Archivos, donde un usuario con privilegios podría subir un archivo .php fuera del directorio de imágenes previsto que está restringido para ejecutar el archivo .php. El impacto podría llevar a una Ejecución Remota de Código. 13-05-2022 Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-26310 Pandora FMS v7.0NG.760 e inferior permite una autorización inadecuada en la Gestión de Usuarios donde cualquier usuario autenticado con acceso al módulo de Gestión de Usuarios puede crear, modificar o eliminar cualquier usuario con privilegio de administrador completo. El impacto podría llevar a una escalada vertical de privilegios para acceder a los privilegios de un usuario de nivel superior o a un usuario administrador. 13-05-2022 Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-26309 Pandora FMS v7.0NG.760 e inferior permite un Cross-Site Request Forgery en la operación Bulk (User operation), lo que resulta en una elevación de privilegios al grupo de administradores. 13-05-2022 Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2022-26308 Pandora FMS v7.0NG.760 e inferior permite un control de acceso inadecuado en Configuración (Almacén de credenciales) donde un usuario con el rol de Operador (Escritura) puede crear, borrar y ver claves existentes que estén fuera del rol previsto. 13-05-2022 Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. Ártica PFMS Análisis externo
CVE-2021-46681 Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "massive operation". 21-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. Ártica PFMS Análisis interno
CVE-2021-46680 Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "module form". 21-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. Ártica PFMS Análisis interno
CVE-2021-46679 Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "service elements". 21-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. Ártica PFMS Análisis interno
CVE-2021-46678 Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "service". 21-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. Ártica PFMS Análisis interno
CVE-2021-46677 Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "event filter". 21-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. Ártica PFMS Análisis interno
CVE-2021-46676 Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "transactional maps". 21-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. Ártica PFMS Análisis interno
CVE-2022-0507 Se ha descubierto una potencial vulnerabilidad de seguridad en la API de Pandora. Rango de versiones afectado de Pandora FMS: todas las versiones de la versión NG hasta OUM 759. Esta vulnerabilidad podría permitir a un atacante con una IP autenticada realizar una inyección SQL. 10-02-2022 Esta vulnerabilidad ha sido solucionada en la versión 760 de Pandora FMS. Ártica PFMS -