| CVE | Descripción | Fecha de publicación | CNA Asignador |
|---|---|---|---|
| CVE-2023-4677 | Los archivos de copia de seguridad del registro Cron contienen ID de sesión de administrador. Es trivial para cualquier atacante que pueda acceder a Pandora FMS Console y extraer el directorio de registros cron para realizar copias de seguridad de los registros Cron. Luego se puede abusar del contenido de estos archivos de registro para autenticarse en la aplicación como administrador. Este problema afecta a Pandora FMS <= 772. | Pandora FMS |
|
| CVE-2023-41790 | Vulnerabilidad no controlada del elemento de ruta de búsqueda en Pandora FMS permite aprovechar/manipular rutas de búsqueda de archivos de configuración. Esta vulnerabilidad permite acceder al archivo de configuración del servidor y comprometer la base de datos. Este problema afecta a Pandora FMS: del 700 al 773. | Pandora FMS |
|
| CVE-2023-41811 | La vulnerabilidad de Neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Pandora FMS permite en todos los casos Cross-Site Scripting (XSS). Esta vulnerabilidad permitía ejecutar código Javascript en la sección de noticias de la consola web. Este problema afecta a Pandora FMS: del 700 al 773. | Pandora FMS |
|
| CVE-2023-24518 | Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Pandora FMS permite a un atacante obligar a los usuarios autenticados a enviar una solicitud a una aplicación web en la que están actualmente autenticados. Este problema afecta a Pandora FMS versión 767 y versiones anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2023-0828 | Una vulnerabilidad de Cross-site Scripting (XSS) en Syslog Section de Pandora FMS permite a un atacante hacer que el valor de la cookie del usuario se transfiera al servidor del usuario atacante. Este problema afecta a Pandora FMS versión v767 y versiones anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2023-24517 | Vulnerabilidad de subida no restringida de ficheros de tipo peligroso en el componente "File Manager" de Pandora FMS, podría permite a un atacante hacer uso de este problema (subida no restringida de ficheros) para ejecutar comandos arbitrarios del sistema. Este problema afecta a la versión Pandora FMS v767 y anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2023-24514 | Vulnerabilidad de Cross-site Scripting (XSS) en el módulo "Visual Console" de Pandora FMS, podría ser explotada para obtener los valores de las cookies de sesión de los usuarios administradores, realizar ataques de phishing, etc. Este problema afecta a la versión 767 de Pandora FMS y versiones anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2023-24516 | Una vulnerabilidad de Cross-site Scripting (XSS) en el componente Pandora FMS Special Days FMS permite a un atacante utilizarlo para robar el valor de la cookie de sesión de los usuarios administradores fácilmente con poca interacción del usuario. Este problema afecta a la versión v767 de Pandora FMS y versiones anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2023-24515 | Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el comprobador de API de Pandora FMS. La aplicación no comprueba el esquema de URL utilizado al recuperar la URL de la API. En lugar de validar el esquema http/https, la aplicación permite otros esquemas como file, lo que podría permitir a un usuario malicioso obtener contenido de ficheros internos. Este problema afecta a Pandora FMS v767 y versiones anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2023-2807 | Vulnerabilidad de omisión de autenticación debido a suplantación en el proceso de regeneración de credenciales de Pandora FMS, podría permitir a un atacante no autenticado iniciar un proceso de restablecimiento de contraseña para cualquier cuenta de usuario sin la autenticación adecuada. Este problema afecta a PandoraFMS v771 y versiones anteriores en todas las plataformas. | Pandora FMS |
|
| CVE-2022-45436 | Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Como usuario con privilegios de administrador, crea un mapa de red que contiene el nombre como payload xss. Una vez creado, el usuario administrador debe hacer clic en la edición de mapas de red y se ejecutará el payload XSS, que podría ser utilizado para robar el valor de la cookie de los usuarios administradores. | Pandora FMS |
|
| CVE-2022-47373 | Cross-Site Scripting reflejado en la funcionalidad de búsqueda de la librería de módulos en la consola de Pandora FMS v766 e inferiores. Esta vulnerabilidad surge en la funcionalidad de olvido de contraseña donde el parámetro nombre de usuario no tiene una validación/sanitización de entrada adecuada, resultando en la ejecución de payload JavaScript malicioso. | Pandora FMS |
|
| CVE-2022-45437 | Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Un usuario con privilegios de edición puede crear un Payload en el módulo del panel de informes. Un usuario administrador puede observar el Payload sin interacción y el atacante puede obtener información. | Pandora FMS |
|
| CVE-2022-47372 | Vulnerabilidad de Cross-Site Scripting almacenada en la sección Crear evento en la Consola de Pandora FMS v766 e inferiores. Un atacante suele explotar esta vulnerabilidad inyectando cargas útiles XSS en páginas populares de un sitio o pasando un enlace a una víctima, engañándola para que vea la página que contiene la carga útil XSS almacenada. | Pandora FMS |
|
| CVE-2022-43979 | Existe un Path Traversal que conduce a una Inclusión de Archivos Locales en Pandora FMS v764. Se llama a una función para comprobar que el parámetro que el usuario ha insertado no contiene caracteres maliciosos, pero esta comprobación es insuficiente. Un atacante podría insertar una ruta absoluta para superar la comprobación, pudiendo así incluir cualquier fichero PHP que resida en el disco. La explotación de esta vulnerabilidad podría conducir a una ejecución remota de código. | Pandora FMS |
|
| CVE-2022-43978 | Existe una vulnerabilidad de autenticación inadecuada en Pandora FMS v764. La aplicación verifica que el usuario tiene una sesión válida cuando no está intentando hacer un login. Como el "secret" es estático en la función generatePublicHash, un atacante con conocimiento de una sesión válida podría abusar de esto para saltarse la comprobación de autenticación. | Pandora FMS |
|
| CVE-2022-43980 | Existe una vulnerabilidad de cross-site scripting persistente en Pandora FMS v765, en la funcionalidad de edición de mapas de red. Un atacante podría modificar un mapa de red, incluyendo a propósito el nombre de un payload XSS. Una vez creado, si un usuario con privilegios de administrador hace clic en los mapas de red editados, se ejecutará el payload XSS. La explotación de esta vulnerabilidad podría permitir a un atacante robar el valor de la cookie del usuario con rol de administrador. | Pandora FMS |
|
| CVE-2021-46676 | Se presenta una vulnerabilidad de tipo XSS en Pandora FMS versiones 756 y anteriores, que permite a un atacante llevar a cabo ejecuciones de código javascript por medio del campo name de los mapas transaccionales | Pandora FMS |
|
| CVE-2021-46681 | Se presenta una vulnerabilidad de tipo XSS en Pandora FMS versiones 756 y posteriores, que permite a un atacante llevar a cabo ejecuciones de código javascript por medio del campo name de operación masiva del módulo | Pandora FMS |
|
| CVE-2021-46679 | Se presenta una vulnerabilidad de tipo XSS en Pandora FMS versiones 756 y anteriores, que permite a un atacante llevar a cabo ejecuciones de código javascript por medio de elementos de servicio | Pandora FMS |
CVE coordinados
Contenido CVE coordinados
