Un problème a été constaté sur Centreon 19.04.3 et les versions antérieures. Une injection de commande est présente dans la page include/configuration/configObject/traps-mibs/formMibs.php. Cette page est directement appelée depuis l’interface d’administration de Centreon.
C’est la fonctionnalité de gestion des mibs qui contient un formulaire de dépôt de fichier. Au moment de la soumission du fichier le paramètre mnftr est envoyé à la page et n’est pas filtré correctement, il permet d’injecter directement des commandes linux.