{"id":961728,"date":"2023-09-20T16:53:50","date_gmt":"2023-09-20T16:53:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/fallos-de-seguridad-criticos-expuestos-en-el-software-de-monitoreo-de-red-nagios-xi\/"},"modified":"2023-09-20T16:53:54","modified_gmt":"2023-09-20T16:53:54","slug":"fallos-de-seguridad-criticos-expuestos-en-el-software-de-monitoreo-de-red-nagios-xi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fallos-de-seguridad-criticos-expuestos-en-el-software-de-monitoreo-de-red-nagios-xi\/","title":{"rendered":"Fallos de seguridad cr\u00edticos expuestos en el software de monitoreo de red Nagios XI"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad\/vulnerabilidad de la red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se han revelado m\u00faltiples fallas de seguridad en el software de monitoreo de red Nagios XI que podr\u00edan resultar en una escalada de privilegios y divulgaci\u00f3n de informaci\u00f3n.<\/p>\n<p>Las cuatro vulnerabilidades de seguridad, rastreadas desde CVE-2023-40931 hasta CVE-2023-40934, afectan las versiones 5.11.1 y anteriores de Nagios XI.  Tras la divulgaci\u00f3n responsable el 4 de agosto de 2023, han sido <a rel=\"nofollow noopener\" href=\"https:\/\/www.nagios.com\/downloads\/nagios-xi\/change-log\/\" target=\"_blank\">parcheado<\/a> a partir del 11 de septiembre de 2023, con el lanzamiento de la versi\u00f3n 5.11.2.<\/p>\n<p>&#8220;Tres de estas vulnerabilidades (CVE-2023-40931, CVE-2023-40933 y CVE-2023-40934) permiten a los usuarios, con varios niveles de privilegios, acceder a campos de bases de datos mediante inyecciones SQL&#8221;, afirma la investigadora de Outpost24, Astrid Tedenbrant. <a rel=\"nofollow noopener\" href=\"https:\/\/outpost24.com\/blog\/nagios-xi-vulnerabilities\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Los datos obtenidos de estas vulnerabilidades pueden usarse para aumentar a\u00fan m\u00e1s los privilegios en el producto y obtener datos confidenciales del usuario, como hashes de contrase\u00f1as y tokens API&#8221;.<\/p>\n<p>CVE-2023-40932, por otro lado, se relaciona con una falla de secuencias de comandos entre sitios (XSS) en el componente del logotipo personalizado que podr\u00eda usarse para leer datos confidenciales, incluidas contrase\u00f1as de texto sin cifrar desde la p\u00e1gina de inicio de sesi\u00f3n.<\/p>\n<p>La lista de fallas se describe a continuaci\u00f3n:<\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-40931\" target=\"_blank\"><strong>CVE-2023-40931<\/strong><\/a>  &#8211; Inyecci\u00f3n SQL en Banner reconociendo el punto final<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-40932\" target=\"_blank\"><strong>CVE-2023-40932<\/strong><\/a>  &#8211; Secuencias de comandos entre sitios en el componente de logotipo personalizado<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-40933\" target=\"_blank\"><strong>CVE-2023-40933<\/strong><\/a>  &#8211; Inyecci\u00f3n SQL en la configuraci\u00f3n del banner de anuncios<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-40934\" target=\"_blank\"><strong>CVE-2023-40934<\/strong><\/a>  &#8211; Inyecci\u00f3n SQL en Host\/Escalado de Servicio en el Core Configuration Manager (CCM)<\/li>\n<\/ul>\n<p>La explotaci\u00f3n exitosa de las tres vulnerabilidades de inyecci\u00f3n SQL podr\u00eda permitir a un atacante autenticado ejecutar comandos SQL arbitrarios, mientras que el error XSS podr\u00eda explotarse para inyectar JavaScript arbitrario y leer y modificar datos de p\u00e1ginas.<\/p>\n<p>Esta no es la primera vez que se descubren problemas de seguridad en Nagios XI.  En 2021, Skylight Cyber \u200b\u200by Claroty descubrieron hasta dos docenas de fallas de las que se pod\u00eda abusar para secuestrar la infraestructura y lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/critical-security-flaws-exposed-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 de septiembre de 2023\ue804THNSeguridad\/vulnerabilidad de la red Se han revelado m\u00faltiples fallas de seguridad en el software<\/p>\n","protected":false},"author":1,"featured_media":961729,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,6215,43518,15566,4662,4668,201033,5278,206197,4654,201031,4659,4653,4655,2770,42,4666,4665,6246,201032,4660],"class_list":["post-961728","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-criticos","tag-expuestos","tag-fallos","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-monitoreo","tag-nagios","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-red","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/961728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=961728"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/961728\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/961729"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=961728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=961728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=961728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}