Nagios XI est une application conçue pour la surveillance des applications, des services et des réseaux. Elle dispose d'un accès privilégié à la configuration et reporting des réseaux et des serveurs.

Les recherches du Cybersecurity Research Center (CyRC) de Synopsys ont mis en évidence trois vulnérabilités distinctes dans Nagios XI qui sont :

• CVE-2021-33177 : Injection SQL post-authentification dans l'outil de modification en masse (bulk modification tool), avec un score de 5.2. Le logiciel affecté par cette vulnérabilité est le Nagios XI avec une versions antérieure à 5.8.5.
• CVE-2021-33178 : Vulnérabilité de path-travesal après authentification dans le module de reporting NagVis, avec un score de 4.5. Les versions concernées par cette vulnérabilité sont les versions de Nagios XI antérieures à 5.8.6 via le plugin NagVis. La vulnérabilité n'est pas présente dans le code de Nagios XI lui-même, mais dans un plugin installé par défaut. La vulnérabilité est présente dans le plugin NagVis dans les versions antérieures à 2.0.9, et ce composant peut être mis à jour indépendamment vers la version 2.0.9 ou ultérieure ou désinstallé s'il n'est pas nécessaire.
• CVE-2021-33179 : Cross-site scripting (XSS), répercuté sur le gestionnaire de configuration principal avec un score de 4.3. Les versions affectées par cette vulnérabilité sont les versions de Nagios XI antérieures à 5.8.4.

Une exploitation réussie de la CVE-2021-33177 donne à un utilisateur authentifié ayant accès à l'outil de modifications en masse, la possibilité d'injecter du code SQL arbitraire dans une déclaration UPDATE. Dans la configuration par défaut, cela permet l'exécution de fonctions PostgreSQL arbitraires. Quant à la CVE-2021-33178, son exploitation accorde à un utilisateur authentifié ayant accès au point de terminaison NagVis ManageBackgrounds, la capacité de supprimer des fichiers arbitraires sur le serveur limité par les droits de l'utilisateur effectif du serveur Apache. Pour ce qui concerne la CVE-2021-33179 une URL malveillante, lorsqu'elle est cliquée par l'utilisateur, peut exécuter un code JavaScript arbitraire dans le navigateur de la victime avec toutes les données de session locales de Nagios XI à sa disposition.

Nagios a publié un correctif pour chacune de ces vulnérabilités. Les administrateurs du système Nagios XI sont invités à les appliquer pour pallier aux conséquences qui pourraient se produire.