CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18249
https://notcve.org/view.php?id=CVE-2018-18249
Icinga Web 2 before 2.6.2 allows injection of PHP ini-file directives via vectors involving environment variables as the channel to send information to the attacker, such as a name=${PATH}_${APACHE_RUN_DIR}_${APACHE_RUN_USER} parameter to /icingaweb2/navigation/add or /icingaweb2/dashboard/new-dashlet. Icinga Web 2 en versiones anteriores a la 2.6.2 permite la inyección de directivas PHP ini-file mediante vectores relacionados con el uso de variables de entorno como canal para el envío de información al atacante, como el parámetro name=${PATH}_${APACHE_RUN_DIR}_${APACHE_RUN_USER} en /icingaweb2/navigation/add o /icingaweb2/dashboard/new-dashlet. • http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00031.html https://herolab.usd.de/wp-content/uploads/sites/4/2018/12/usd20180030.txt • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-6532
https://notcve.org/view.php?id=CVE-2018-6532
An issue was discovered in Icinga 2.x through 2.8.1. By sending specially crafted (authenticated and unauthenticated) requests, an attacker can exhaust a lot of memory on the server side, triggering the OOM killer. Se ha descubierto un problema en Icinga, en versiones 2.x hasta la 2.8.1. Mediante el envío de peticiones (autenticadas y no autenticadas) especialmente manipuladas, un atacante puede agotar mucha memoria del lado del servidor, desencadenando el killer OOM. • https://github.com/Icinga/icinga2/pull/6103 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-6535
https://notcve.org/view.php?id=CVE-2018-6535
An issue was discovered in Icinga 2.x through 2.8.1. The lack of a constant-time password comparison function can disclose the password to an attacker. Se ha descubierto un problema en Icinga, en versiones 2.x hasta la 2.8.1. La falta de una función de comparación de contraseña en tiempo constante (constant-time) puede revelar la contraseña a un atacante. • https://github.com/Icinga/icinga2/issues/4920 https://github.com/Icinga/icinga2/pull/5715 •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-6533
https://notcve.org/view.php?id=CVE-2018-6533
An issue was discovered in Icinga 2.x through 2.8.1. By editing the init.conf file, Icinga 2 can be run as root. Following this the program can be used to run arbitrary code as root. This was fixed by no longer using init.conf to determine account information for any root-executed code (a larger issue than CVE-2017-16933). Se ha descubierto un problema en Icinga, en versiones 2.x hasta la 2.8.1. • https://github.com/Icinga/icinga2/pull/5850 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-6534
https://notcve.org/view.php?id=CVE-2018-6534
An issue was discovered in Icinga 2.x through 2.8.1. By sending specially crafted messages, an attacker can cause a NULL pointer dereference, which can cause the product to crash. Se ha descubierto un problema en Icinga, en versiones 2.x hasta la 2.8.1. Al enviar mensajes especialmente manipulados, un atacante puede provocar una desreferencia de puntero NULL, lo que puede hacer que el producto se cierre inesperadamente. • https://github.com/Icinga/icinga2/pull/6104 • CWE-476: NULL Pointer Dereference •