NVD脆弱性詳細

CVE-2015-1561

概要	The escape_command function in include/Administration/corePerformance/getStats.php in Centreon (formerly Merethis Centreon) 2.5.4 and earlier (fixed in Centreon 19.10.0) uses an incorrect regular expression, which allows remote authenticated users to execute arbitrary commands via shell metacharacters in the ns_id parameter.
公表日	2015年7月15日1:59
登録日	2021年1月26日14:46
最終更新日	2024年11月21日11:25

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:centreon:centreon::::::::			2.5.4

関連情報、対策とツール

No	URL	タグ
1	http://packetstormsecurity.com/files/132607/Merethis-Centreon-2.5.4-SQL-Injection-Remote-Command-Execution.html	Exploit
2	http://packetstormsecurity.com/files/132607/Merethis-Centreon-2.5.4-SQL-Injection-Remote-Command-Execution.html	Exploit
3	http://www.securityfocus.com/archive/1/535961/100/0/threaded
4	http://www.securityfocus.com/archive/1/535961/100/0/threaded
5	https://forge.centreon.com/projects/centreon/repository/revisions/387dffdd051dbc7a234e1138a9d06f3089bb55bb
6	https://forge.centreon.com/projects/centreon/repository/revisions/387dffdd051dbc7a234e1138a9d06f3089bb55bb
7	https://github.com/centreon/centreon/commit/a78c60aad6fd5af9b51a6d5de5d65560ea37a98a#diff-27550b563fa8d660b64bca871a219cb1
8	https://github.com/centreon/centreon/commit/a78c60aad6fd5af9b51a6d5de5d65560ea37a98a#diff-27550b563fa8d660b64bca871a219cb1

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-77	コマンドインジェクション	https://cwe.mitre.org/data/definitions/77.html

JVN脆弱性情報

Centreon の include/Administration/corePerformance/getStats.php の escape_command 関数における任意のコマンドを実行される脆弱性

タイトル	Centreon の include/Administration/corePerformance/getStats.php の escape_command 関数における任意のコマンドを実行される脆弱性
概要	Centreon (旧 Merethis Centreon) の include/Administration/corePerformance/getStats.php の escape_command 関数は、不正な正規表現を使用するため、任意のコマンドを実行される脆弱性が存在します。 CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') http://cwe.mitre.org/data/definitions/77.html
想定される影響	リモート認証されたユーザにより、ns_id パラメータのシェルのメタ文字を介して、任意のコマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年1月30日0:00
登録日	2015年7月15日15:29
最終更新日	2015年7月15日15:29

影響を受けるシステム

Centreon

Centreon 2.5.4 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1561	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1561
National Vulnerability Database (NVD)
2	CVE-2015-1561	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1561

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Centreon
1	Revision 387dffdd	https://forge.centreon.com/projects/centreon/repository/revisions/387dffdd051dbc7a234e1138a9d06f3089bb55bb

変更履歴

No	変更内容	変更日
0	[2015年07月15日] 掲載	2018年2月17日10:37