CVSS: 7.2EPSS: 53%CPEs: 1EXPL: 2CVE-2020-5792 – Nagios XI 5.7.3 Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-5792
Improper neutralization of argument delimiters in a command in Nagios XI 5.7.3 allows a remote, authenticated admin user to write to arbitrary files and ultimately execute code with the privileges of the apache user. Una neutralización inapropiada de los delimitadores de argumentos en un comando en Nagios XI versión 5.7.3, permite a un usuario administrador autenticado remoto escribir en archivos arbitrarios y finalmente ejecutar código con los privilegios del usuario de apache • http://packetstormsecurity.com/files/162284/Nagios-XI-5.7.3-Remote-Code-Execution.html https://www.tenable.com/security/research/tra-2020-58 - • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15903
https://notcve.org/view.php?id=CVE-2020-15903
An issue was found in Nagios XI before 5.7.3. There is a privilege escalation vulnerability in backend scripts that ran as root where some included files were editable by nagios user. This issue was fixed in version 5.7.3. Se encontró un problema en Nagios XI versiones anteriores a 5.7.3. Se presenta una vulnerabilidad de escalada de privilegios en los scripts del backend que se ejecutaban como root, donde algunos archivos incluidos eran editables por el usuario de nagios. • https://www.nagios.com/downloads/nagios-xi/change-log •
CVSS: 8.8EPSS: 7%CPEs: 1EXPL: 0CVE-2020-15901
https://notcve.org/view.php?id=CVE-2020-15901
In Nagios XI before 5.7.3, ajaxhelper.php allows remote authenticated attackers to execute arbitrary commands via cmdsubsys. En Nagios XI versiones anteriores a 5.7.3, el archivo ajaxhelper.php permite a atacantes autentificados remotos ejecutar comandos arbitrarios por medio de cmdsubsys • https://insinuator.net/2020/07/security-advisories-for-nagios-xi https://www.nagios.com/downloads/nagios-xi/change-log https://www.nagios.com/products/security •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15902
https://notcve.org/view.php?id=CVE-2020-15902
Graph Explorer in Nagios XI before 5.7.2 allows XSS via the link url option. Graph Explorer en Nagios XI versiones anteriores a 5.7.2, permite un ataque de tipo XSS por medio de la opción link url • https://insinuator.net/2020/07/security-advisories-for-nagios-xi https://www.nagios.com/downloads/nagios-xi/change-log https://www.nagios.com/products/security • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 5%CPEs: 1EXPL: 1CVE-2020-10819
https://notcve.org/view.php?id=CVE-2020-10819
Nagios XI 5.6.11 allows XSS via the includes/components/ldap_ad_integration/ username parameter. Nagios XI versión 5.6.11, permite un ataque de tipo XSS por medio del parámetro username del archivo includes/components/ldap_ad_integration/. • https://code610.blogspot.com/2020/03/nagios-5611-xssd.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •