CVE-2020-35269
https://notcve.org/view.php?id=CVE-2020-35269
Nagios Core application version 4.2.4 is vulnerable to Site-Wide Cross-Site Request Forgery (CSRF) in many functions, like adding – deleting for hosts or servers. La versión 4.2.4 de la aplicación Nagios Core es vulnerable a la falsificación de solicitudes en todo el sitio (CSRF) en muchas funciones, como la adición y la eliminación de hosts o servidores • https://gist.github.com/MoSalah20/d1d40b43eafba0bd22ee4cddecad3cbc • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-13457 – Nagios Core 4.4.1 - Denial of Service
https://notcve.org/view.php?id=CVE-2018-13457
qh_echo in Nagios Core 4.4.1 and earlier is prone to a NULL pointer dereference vulnerability, which allows attackers to cause a local denial-of-service condition by sending a crafted payload to the listening UNIX socket. qh_echo en Nagios Core en versiones 4.4.1 y anteriores es propenso a una vulnerabilidad de desreferencia de puntero NULL que permite que atacantes provoquen una condición de denegación de servicio (DoS) local mediante el envío de una carga útil manipulada al socket UNIX en escucha. Nagios Core versions 4.4.1 and below suffer from a denial of service vulnerability. • https://www.exploit-db.com/exploits/45082 http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00014.html http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00022.html https://gist.github.com/fakhrizulkifli/87cf1c1ad403b4d40a86d90c9c9bf7ab https://knowledge.opsview.com/v5.3/docs/whats-new https://knowledge.opsview.com/v5.4/docs/whats-new • CWE-476: NULL Pointer Dereference •
CVE-2018-13458 – Nagios Core 4.4.1 - Denial of Service
https://notcve.org/view.php?id=CVE-2018-13458
qh_core in Nagios Core 4.4.1 and earlier is prone to a NULL pointer dereference vulnerability, which allows attackers to cause a local denial-of-service condition by sending a crafted payload to the listening UNIX socket. qh_core en Nagios Core en versiones 4.4.1 y anteriores es propenso a una vulnerabilidad de desreferencia de puntero NULL que permite que atacantes provoquen una condición de denegación de servicio (DoS) local mediante el envío de una carga útil manipulada al socket UNIX en escucha. Nagios Core versions 4.4.1 and below suffer from a denial of service vulnerability. • https://www.exploit-db.com/exploits/45082 http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00014.html http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00022.html https://gist.github.com/fakhrizulkifli/40f3daf52950cca6de28ebec2498ff6e https://knowledge.opsview.com/v5.3/docs/whats-new https://knowledge.opsview.com/v5.4/docs/whats-new • CWE-476: NULL Pointer Dereference •
CVE-2017-14312
https://notcve.org/view.php?id=CVE-2017-14312
Nagios Core through 4.3.4 initially executes /usr/sbin/nagios as root but supports configuration options in which this file is owned by a non-root account (and similarly can have nagios.cfg owned by a non-root account), which allows local users to gain privileges by leveraging access to this non-root account. Nagios Core hasta la versión 4.3.4 ejecuta inicialmente /usr/sbin/nagios como root, pero es compatible con opciones de configuración en las cuales este archivo es propiedad de una cuenta sin root (y, de forma similar, puede poseer nagios.cfg sin root), lo que permite que usuarios locales obtengan privilegios aprovechando el acceso a esta cuenta sin root. • http://www.securityfocus.com/bid/100881 https://github.com/NagiosEnterprises/nagioscore/issues/424 https://security.gentoo.org/glsa/201812-03 • CWE-269: Improper Privilege Management •