CVSS: 9.0EPSS: 1%CPEs: 4EXPL: 4CVE-2019-16405 – Centreon 19.04 - Authenticated Remote Code Execution
https://notcve.org/view.php?id=CVE-2019-16405
Centreon Web before 2.8.30, 18.10.x before 18.10.8, 19.04.x before 19.04.5 and 19.10.x before 19.10.2 allows Remote Code Execution by an administrator who can modify Macro Expression location settings. CVE-2019-16405 and CVE-2019-17501 are similar to one another and may be the same. Centreon Web anterior a la versión 2.8.30, 18.10.x anterior a la versión 18.10.8, 19.04.x anterior a la versión 19.04.5 y 19.10.x anterior a la versión 19.10.2 permite la ejecución remota de código por parte de un administrador que puede modificar la configuración de ubicación de Macro Expression. CVE-2019-16405 y CVE-2019-17501 son similares entre sí y pueden ser iguales. • https://www.exploit-db.com/exploits/47948 https://github.com/TheCyberGeek/CVE-2019-16405.rb http://packetstormsecurity.com/files/155999/Centreon-19.04-Remote-Code-Execution.html https://documentation.centreon.com/docs/centreon/en/latest/release_notes/centreon-18.10.html https://documentation.centreon.com/docs/centreon/en/latest/release_notes/centreon-19.04.html https://documentation.centreon.com/docs/centreon/en/latest/release_notes/centreon-19.10.html https://documentation.centreon.com/docs/centreon&# •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-17105
https://notcve.org/view.php?id=CVE-2019-17105
The token generator in index.php in Centreon Web before 2.8.27 is predictable. El generador de tokens en el archivo index.php en Centreon Web versiones anteriores a 2.8.27 es predecible. • http://www.openwall.com/lists/oss-security/2019/10/09/2 https://github.com/centreon/centreon/pull/7100 https://www.openwall.com/lists/oss-security/2019/10/08/1 • CWE-330: Use of Insufficiently Random Values •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 1CVE-2019-17108
https://notcve.org/view.php?id=CVE-2019-17108
Local file inclusion in brokerPerformance.php in Centreon Web before 2.8.28 allows attackers to disclose information or perform a stored XSS attack on a user. La inclusión de archivos locales en el archivo brokerPerformance.php en Centreon Web versiones anteriores a 2.8.28, permite a atacantes revelar información o realizar un ataque de tipo XSS almacenado sobre un usuario. • http://www.openwall.com/lists/oss-security/2019/10/09/2 https://github.com/centreon/centreon/pull/7101 https://www.openwall.com/lists/oss-security/2019/10/08/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-17107
https://notcve.org/view.php?id=CVE-2019-17107
minPlayCommand.php in Centreon Web before 2.8.27 allows authenticated attackers to execute arbitrary code via the command_hostaddress parameter. NOTE: some sources have listed CVE-2019-17017 for this, but that is incorrect. El archivo minPlayCommand.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes autenticados ejecutar código arbitrario por medio del parámetro command_hostaddress. NOTA: algunas fuentes han listado el CVE-2019-17017 para esto, pero eso es incorrecto. • http://www.openwall.com/lists/oss-security/2019/10/09/2 https://github.com/centreon/centreon/pull/7099 https://www.openwall.com/lists/oss-security/2019/10/08/1 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17106
https://notcve.org/view.php?id=CVE-2019-17106
In Centreon Web through 2.8.29, disclosure of external components' passwords allows authenticated attackers to move laterally to external components. En Centreon Web versiones hasta 2.8.29, la divulgación de las contraseñas de los componentes externos permite a atacantes autenticados moverse lateralmente en los componentes externos. • http://www.openwall.com/lists/oss-security/2019/10/09/2 https://github.com/centreon/centreon/issues/7098 https://www.openwall.com/lists/oss-security/2019/10/08/1 • CWE-312: Cleartext Storage of Sensitive Information •