- شناسه CVE-2025-3872 :CVE
- CWE-89 :CWE
- yes :Advisory
- منتشر شده: آوریل 24, 2025
- به روز شده: آوریل 24, 2025
- امتیاز: 7.2
- نوع حمله: SQL Injection
- اثر گذاری: Privilege Escalation
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Centreon
- محصول: Centreon
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیب پذیری SQL Injection در ماژول های فرم پیکربندی کاربر در نرم افزار Centreon، به دلیل عدم خنثی سازی صحیح کاراکترهای خاص در دستورات SQL ، وجود دارد. این آسیب پذیری به کاربران با سطح دسترسی بالا اجازه می دهد با تغییر داده های فرم تماس به سطح دسترسی مدیریتی(Administrator) دست یابند.
توضیحات
آسیب پذیری CVE-2025-3872 به دلیل عدم اعتبارسنجی مناسب ورودی ها در فرم تماس ایجاد شده است. یک کاربر با سطح دسترسی بالا می تواند درخواست فرم تماس را رهگیری کرده و محتوای آن را تغییر دهد تا بدین منظور دسترسی مدیریتی به سیستم Centreon را بدست آورد.
CVSS
| Score | Severity | Version | Vector String |
| 7.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
|
Versions |
Product |
|
affected from 22.10.0 before 22.10.28 |
Centreon |
|
affected from 23.04.0 before 23.04.25 |
Centreon |
|
affected from 23.10.0 before 23.10.20 |
Centreon |
|
affected from 24.04.0 before 24.04.10 |
Centreon |
|
affected from 24.10.0 before 24.10.4 |
Centreon |
لیست محصولات بروز شده
|
Versions |
Product |
|
Web 24.10.4 |
Centreon |
|
Web 24.04.10 |
Centreon |
|
Web 23.10.20 |
Centreon |
|
Web 23.04.25 |
Centreon |
نتیجه گیری
این آسیب پذیری می تواند منجر به تصاحب کامل سیستم توسط کاربران دارای دسترسی بالا شود. به کاربران توصیه می شود جهت جلوگیری از سوءاستفاده احتمالی، به نسخه های جدید Centreon به روزرسانی کنند.
منابع
1. https://www.cve.org/CVERecord?id=CVE-2025-3872
2. https://www.cvedetails.com/cve/CVE-2025-3872/
3. https://github.com/centreon/centreon/releases?page=1
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-3872
6. https://vuldb.com/?id.306073
