Se han descubierto vulnerabilidades de severidad crítica y alta en productos Nagios Log Server. Un actor malicioso podría exponer claves de API administrativas en texto plano y provocar la interrupción del servicio de Elasticsearch, causando denegación de servicio.
Productos afectados
- Servidor de registro de Nagios, versiones anteriores a 2024R1.3.2
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-44823: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de exposición de información sensible que permite a un actor malicioso obtener claves API administrativas en texto plano mediante una llamada GET al endpoint /nagioslogserver/index.php/api/system/get_users.
CVE-2025-44824: con una puntuación de 8.5 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta que permite a un actor malicioso detener el servicio de Elasticsearch mediante una solicitud al endpoint /nagioslogserver/index.php/api/system/stop?subsystem=elasticsearch, provocando denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias