05 Sep. 19 CVE

Vulnérabilité Injection SQL authentifié sur Centreon

découverte par Certilience

Une vulnérabilité dans l’extraction de l’ensemble de la base de données de Centreon, découverte par notre auditeur Sammy Forgit, vient d’être corrigée et crédité à Certilience.

Titre

[CVE-2019-15300] Vulnérabilité Injection SQL authentifié sur Centreon

Risque

Extraction de l’ensemble de la base de données

Systèmes affectés

Centreon Web 19.04.3 et les versions antérieures

Description

Un problème a été constaté sur Centreon 19.04.3 et les versions antérieures. Une injection SQL est présente dans la page include/Administration/parameters/ldap/xml/ldap_host.php, le paramètre arId n’est pas filtré correctement avant d’être transmis à la requête SQL.

Solution

Mise à jour en version Centreon Web 19.04.4

Historique

2019-08-05 : Découverte de la vulnérabilité

2019-08-07 : Communication à Centreon de la vulnérabilité

2019-12-09 : Mise à disposition du correctif

2019-12-09 : Publication de la vulnérabilité par Certilience

Crédits

Sammy FORGIT – Certilience (https://www.certilience.fr)

Mots-clés :