CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-17107
https://notcve.org/view.php?id=CVE-2019-17107
08 Oct 2019 — minPlayCommand.php in Centreon Web before 2.8.27 allows authenticated attackers to execute arbitrary code via the command_hostaddress parameter. NOTE: some sources have listed CVE-2019-17017 for this, but that is incorrect. El archivo minPlayCommand.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes autenticados ejecutar código arbitrario por medio del parámetro command_hostaddress. NOTA: algunas fuentes han listado el CVE-2019-17017 para esto, pero eso es incorrecto. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17106
https://notcve.org/view.php?id=CVE-2019-17106
08 Oct 2019 — In Centreon Web through 2.8.29, disclosure of external components' passwords allows authenticated attackers to move laterally to external components. En Centreon Web versiones hasta 2.8.29, la divulgación de las contraseñas de los componentes externos permite a atacantes autenticados moverse lateralmente en los componentes externos. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17104
https://notcve.org/view.php?id=CVE-2019-17104
08 Oct 2019 — In Centreon VM through 19.04.3, the cookie configuration within the Apache HTTP Server does not protect against theft because the HTTPOnly flag is not set. En Centreon VM versiones hasta 19.04.3, la configuración de cookies dentro del Servidor HTTP de Apache no protege contra el robo porque el flag HTTPOnly no está configurado. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-565: Reliance on Cookies without Validation and Integrity Checking •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2018-21025
https://notcve.org/view.php?id=CVE-2018-21025
08 Oct 2019 — In Centreon VM through 19.04.3, centreon-backup.pl allows attackers to become root via a crafted script, due to incorrect rights of sourced configuration files. En Centreon VM versiones hasta 19.04.3, el archivo centreon-backup.pl permite a atacantes convertirse en root por medio de un script diseñado, debido a derechos incorrectos de los archivos de configuración de origen. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-269: Improper Privilege Management •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-21023
https://notcve.org/view.php?id=CVE-2018-21023
08 Oct 2019 — getStats.php in Centreon Web before 2.8.28 allows authenticated attackers to execute arbitrary code via the ns_id parameter. El archivo getStats.php en Centreon Web versiones anteriores a 2.8.28, permite a atacantes autenticados ejecutar código arbitrario por medio del parámetro ns_id. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-21022
https://notcve.org/view.php?id=CVE-2018-21022
08 Oct 2019 — makeXML_ListServices.php in Centreon Web before 2.8.28 allows attackers to perform SQL injections via the host_id parameter. El archivo makeXML_ListServices.php en Centreon Web versiones anteriores a 2.8.28, permite a atacantes realizar inyecciones SQL por medio del parámetro host_id. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-21021
https://notcve.org/view.php?id=CVE-2018-21021
08 Oct 2019 — img_gantt.php in Centreon Web before 2.8.27 allows attackers to perform SQL injections via the host_id parameter. El archivo img_gantt.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes realizar inyecciones SQL por medio del parámetro host_id. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-21020
https://notcve.org/view.php?id=CVE-2018-21020
08 Oct 2019 — In very rare cases, a PHP type juggling vulnerability in centreonAuth.class.php in Centreon Web before 2.8.27 allows attackers to bypass authentication mechanisms in place. En casos muy raros, una vulnerabilidad de tipo juggling de PHP en el archivo centreonAuth.class.php en Centreon Web versiones anteriores a 2.8.27, permite a atacantes omitir los mecanismos de autenticación establecidos. • http://www.openwall.com/lists/oss-security/2019/10/09/2 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16194
https://notcve.org/view.php?id=CVE-2019-16194
25 Sep 2019 — SQL injection vulnerabilities in Centreon through 19.04 allow attacks via the svc_id parameter in include/monitoring/status/Services/xml/makeXMLForOneService.php. Unas vulnerabilidades de inyección SQL en Centreon versiones hasta 19.04, permiten ataques por medio del parámetro svc_id en el archivo include/tracking/status/Services/xml/makeXMLForOneService.php. • https://github.com/centreon/centreon/pull/7862 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.0EPSS: 24%CPEs: 1EXPL: 6CVE-2019-13024 – Centreon 19.04 - Remote Code Execution
https://notcve.org/view.php?id=CVE-2019-13024
01 Jul 2019 — Centreon 18.x before 18.10.6, 19.x before 19.04.3, and Centreon web before 2.8.29 allows the attacker to execute arbitrary system commands by using the value "init_script"-"Monitoring Engine Binary" in main.get.php to insert a arbitrary command into the database, and execute it by calling the vulnerable page www/include/configuration/configGenerate/xml/generateFiles.php (which passes the inserted value to the database to shell_exec without sanitizing it, allowing one to execute system arbitrary commands). C... • https://www.exploit-db.com/exploits/47069 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •