CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-17105
https://notcve.org/view.php?id=CVE-2019-17105
08 Oct 2019 — The token generator in index.php in Centreon Web before 2.8.27 is predictable. El generador de tokens en el archivo index.php en Centreon Web versiones anteriores a 2.8.27 es predecible. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-330: Use of Insufficiently Random Values •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 1CVE-2019-17108
https://notcve.org/view.php?id=CVE-2019-17108
08 Oct 2019 — Local file inclusion in brokerPerformance.php in Centreon Web before 2.8.28 allows attackers to disclose information or perform a stored XSS attack on a user. La inclusión de archivos locales en el archivo brokerPerformance.php en Centreon Web versiones anteriores a 2.8.28, permite a atacantes revelar información o realizar un ataque de tipo XSS almacenado sobre un usuario. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-17107
https://notcve.org/view.php?id=CVE-2019-17107
08 Oct 2019 — minPlayCommand.php in Centreon Web before 2.8.27 allows authenticated attackers to execute arbitrary code via the command_hostaddress parameter. NOTE: some sources have listed CVE-2019-17017 for this, but that is incorrect. El archivo minPlayCommand.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes autenticados ejecutar código arbitrario por medio del parámetro command_hostaddress. NOTA: algunas fuentes han listado el CVE-2019-17017 para esto, pero eso es incorrecto. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17106
https://notcve.org/view.php?id=CVE-2019-17106
08 Oct 2019 — In Centreon Web through 2.8.29, disclosure of external components' passwords allows authenticated attackers to move laterally to external components. En Centreon Web versiones hasta 2.8.29, la divulgación de las contraseñas de los componentes externos permite a atacantes autenticados moverse lateralmente en los componentes externos. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-21023
https://notcve.org/view.php?id=CVE-2018-21023
08 Oct 2019 — getStats.php in Centreon Web before 2.8.28 allows authenticated attackers to execute arbitrary code via the ns_id parameter. El archivo getStats.php en Centreon Web versiones anteriores a 2.8.28, permite a atacantes autenticados ejecutar código arbitrario por medio del parámetro ns_id. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-21022
https://notcve.org/view.php?id=CVE-2018-21022
08 Oct 2019 — makeXML_ListServices.php in Centreon Web before 2.8.28 allows attackers to perform SQL injections via the host_id parameter. El archivo makeXML_ListServices.php en Centreon Web versiones anteriores a 2.8.28, permite a atacantes realizar inyecciones SQL por medio del parámetro host_id. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-21021
https://notcve.org/view.php?id=CVE-2018-21021
08 Oct 2019 — img_gantt.php in Centreon Web before 2.8.27 allows attackers to perform SQL injections via the host_id parameter. El archivo img_gantt.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes realizar inyecciones SQL por medio del parámetro host_id. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-21020
https://notcve.org/view.php?id=CVE-2018-21020
08 Oct 2019 — In very rare cases, a PHP type juggling vulnerability in centreonAuth.class.php in Centreon Web before 2.8.27 allows attackers to bypass authentication mechanisms in place. En casos muy raros, una vulnerabilidad de tipo juggling de PHP en el archivo centreonAuth.class.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes omitir los mecanismos de autenticación establecidos. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-11589
https://notcve.org/view.php?id=CVE-2018-11589
25 Jun 2018 — Multiple SQL injection vulnerabilities in Centreon 3.4.6 including Centreon Web 2.8.23 allow attacks via the searchU parameter in viewLogs.php, the id parameter in GetXmlHost.php, the chartId parameter in ExportCSVServiceData.php, the searchCurve parameter in listComponentTemplates.php, or the host_id parameter in makeXML_ListMetrics.php. Múltiples vulnerabilidades de inyección SQL en Centreon 3.4.6, incluyendo Centreon Web 2.8.23, permiten ataques mediante el parámetro searchU en viewLogs.php, el parámetro... • https://documentation.centreon.com/docs/centreon/en/latest/release_notes/centreon-2.8/centreon-2.8.24.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 3%CPEs: 2EXPL: 0CVE-2018-11587
https://notcve.org/view.php?id=CVE-2018-11587
25 Jun 2018 — There is Remote Code Execution in Centreon 3.4.6 including Centreon Web 2.8.23 via the RPN value in the Virtual Metric form in centreonGraph.class.php. Hay una ejecución remota de código en Centreon 3.4.6, incluyendo Centreon Web 2.8.23 mediante el valor RPN en el formulario Virtual Metric en centreonGraph.class.php. • https://documentation.centreon.com/docs/centreon/en/latest/release_notes/centreon-2.8/centreon-2.8.24.html • CWE-94: Improper Control of Generation of Code ('Code Injection') •