-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Nagios XI Advisory ID : NCSC-2025-0349 Versie : 1.00 Kans : medium CVE ID : CVE-2025-34134, CVE-2025-34135, CVE-2025-34283, CVE-2025-34284, CVE-2025-34286, CVE-2025-34287 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') Exposure of Sensitive System Information to an Unauthorized Control Sphere Incorrect Permission Assignment for Critical Resource Uitgiftedatum : 20251103 Toepassing : Nagios Enterprises Nagios XI Versie(s) : Platform(s) : Beschrijving Nagios heeft kwetsbaarheden verholpen in Nagios XI (Versies voor 2024R1.4.2 en 2024R2). De kwetsbaarheden omvatten een remote code execution kwetsbaarheid binnen de Business Process Intelligence component, onvoldoende permissies op systemd unit bestanden, ongeautoriseerde toegang tot API-sleutels, een command injection kwetsbaarheid in de WinRM plugin, en een kritieke remote code execution kwetsbaarheid in de Core Config Manager. Deze kwetsbaarheden kunnen worden misbruikt door geauthenticeerde gebruikers om willekeurige code uit te voeren, wat kan leiden tot een compromittering van de systeemintegriteit en de vertrouwelijkheid van gevoelige API-gegevens. De kwetsbaarheden benadrukken de noodzaak van robuuste validatiemechanismen en correcte toegangscontrole binnen de getroffen versies. Mogelijke oplossingen Nagios heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://www.nagios.com/products/security/#nagios-xi Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmkIZ4cACgkQytTOqyR+ cF8kvgv/bxVgbb123OJXi3+trxIX7tYzTEekF6arkFgW9d/KWX1rc25jMxUPVdy9 loHSczTtlMiCFD7pmxVPs8HMP6+D0SwJELl5n369zrcN9YMz1UQ8iQjPW/wufZ7r JCP8oM4P+vWqjZR4dpJTZ+NU5W6u5WyfVgiHZtMi2R5L6KIkmTzWOPHJlZAtNDcC 5EXN2rgZxAOa8+lmxVGll6ItFdYbR9AQB7J+eDOgvYDvZUNcEz9c2cTcG9Um8T4c dH7CJP+iUldybMtvktzzcoVSMnHKyhYTbaPBSSqSmiYb3Nve7UxxudIncibQD/mg gYKmb9IdfU251evagI7A42UlYFeooY4AdoG41OiMqikeU4bzH5phq2WL/MISE6Mz yjF8sN9eymHeZDxCM/XyRbaYI4dosmb4FP5in3qixc+GrLs23Nu+uOHFzYOn4hSY Tsvi+H5sIEL6qQeZhwzrgjm47VK878UCVWDj5+2H8nVI5VVQPQLLn1Fqk+OOsSK7 lsV+Dw2H =q7wW -----END PGP SIGNATURE-----