| CVE-2023-24517 |
Vulnerabilidad de subida no restringida de ficheros de tipo peligroso en el componente "File Manager" de Pandora FMS, podría permite a un atacante hacer uso de este problema (subida no restringida de ficheros) para ejecutar comandos arbitrarios del sistema. Este problema afecta a la versión Pandora FMS v767 y anteriores en todas las plataformas. |
22-02-2023 |
Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2023-24516 |
Vulnerabilidad de Cross-site Scripting (XSS) en el componente "Special Days" de Pandora FMS permite a un atacante utilizarlo para robar el valor de la cookie de sesión de los usuarios administradores fácilmente con poca interacción del usuario. Este problema afecta a la versión v767 de Pandora FMS y versiones anteriores en todas las plataformas. |
22-02-2023 |
Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
|
|
Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el comprobador de API de Pandora FMS. La aplicación no comprueba el esquema de URL utilizado al recuperar la URL de la API. En lugar de validar el esquema http/https, la aplicación permite otros esquemas como file, lo que podría permitir a un usuario malicioso obtener contenido de ficheros internos. Este problema afecta a Pandora FMS v767 y versiones anteriores en todas las plataformas. |
22-02-2023 |
Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2023-24514 |
Vulnerabilidad de Cross-site Scripting (XSS) en el módulo "Visual Console" de Pandora FMS, podría ser explotada para obtener los valores de las cookies de sesión de los usuarios administradores, realizar ataques de phishing, etc. Este problema afecta a la versión 767 de Pandora FMS y versiones anteriores en todas las plataformas. |
22-02-2023 |
Esta vulnerabilidad ha sido solucionada en la versión 769 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-47373 |
Cross-Site Scripting reflejado en la funcionalidad de búsqueda de la librería de módulos en la consola de Pandora FMS v766 e inferiores. Esta vulnerabilidad surge en la funcionalidad de olvido de contraseña donde el parámetro nombre de usuario no tiene una validación/sanitización de entrada adecuada, resultando en la ejecución de payload JavaScript malicioso. |
20-12-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 767 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-47372 |
Vulnerabilidad de Cross-Site Scripting almacenada en la sección Crear evento en la Consola de Pandora FMS v766 e inferiores. Un atacante suele explotar esta vulnerabilidad inyectando cargas útiles XSS en páginas populares de un sitio o pasando un enlace a una víctima, engañándola para que vea la página que contiene la carga útil XSS almacenada. |
20-12-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 767 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-45437 |
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Un usuario con privilegios de edición puede crear un Payload en el módulo del panel de informes. Un usuario administrador puede observar el Payload sin interacción y el atacante puede obtener información. |
16-11-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-45436 |
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de la página web en Artica PFMS Pandora FMS v765 en todas las plataformas, permite Cross-Site Scripting (XSS). Como usuario con privilegios de administrador, crea un mapa de red que contiene el nombre como payload xss. Una vez creado, el usuario administrador debe hacer clic en la edición de mapas de red y se ejecutará el payload XSS, que podría ser utilizado para robar el valor de la cookie de los usuarios administradores. |
16-11-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-43980 |
Existe una vulnerabilidad de cross-site scripting persistente en Pandora FMS v765, en la funcionalidad de edición de mapas de red. Un atacante podría modificar un mapa de red, incluyendo a propósito el nombre de un payload XSS. Una vez creado, si un usuario con privilegios de administrador hace clic en los mapas de red editados, se ejecutará el payload XSS. La explotación de esta vulnerabilidad podría permitir a un atacante robar el valor de la cookie del usuario con rol de administrador. |
03-11-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-43979 |
Existe un Path Traversal que conduce a una Inclusión de Archivos Locales en Pandora FMS v764. Se llama a una función para comprobar que el parámetro que el usuario ha insertado no contiene caracteres maliciosos, pero esta comprobación es insuficiente. Un atacante podría insertar una ruta absoluta para superar la comprobación, pudiendo así incluir cualquier fichero PHP que resida en el disco. La explotación de esta vulnerabilidad podría conducir a una ejecución remota de código. |
03-11-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-43978 |
Existe una vulnerabilidad de autenticación inadecuada en Pandora FMS v764. La aplicación verifica que el usuario tiene una sesión válida cuando no está intentando hacer un login. Como el "secret" es estático en la función generatePublicHash, un atacante con conocimiento de una sesión válida podría abusar de esto para saltarse la comprobación de autenticación. |
03-11-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 766 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-2059 |
En Pandora FMS v7.0NG.761 y anteriores, en la sección de creación de agentes, el parámetro alias es vulnerable a un Stored Cross Site-Scripting. Esta vulnerabilidad puede ser explotada por un atacante con privilegios de administrador registrado en el sistema. |
14-06-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 762 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-2032 |
En Pandora FMS v7.0NG.761 y anteriores, en la sección del gestor de ficheros, el parámetro dirname es vulnerable a un Stored Cross Site-Scripting. Esta vulnerabilidad puede ser explotada por un atacante con privilegios de administrador registrado en el sistema. |
14-06-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 762 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-1648 |
Pandora FMS v7.0NG.760 e inferior permite un Relative Path Traversal en el Gestor de Archivos, donde un usuario con privilegios podría subir un archivo .php fuera del directorio de imágenes previsto que está restringido para ejecutar el archivo .php. El impacto podría llevar a una Ejecución Remota de Código. |
13-05-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-26310 |
Pandora FMS v7.0NG.760 e inferior permite una autorización inadecuada en la Gestión de Usuarios donde cualquier usuario autenticado con acceso al módulo de Gestión de Usuarios puede crear, modificar o eliminar cualquier usuario con privilegio de administrador completo. El impacto podría llevar a una escalada vertical de privilegios para acceder a los privilegios de un usuario de nivel superior o a un usuario administrador. |
13-05-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-26309 |
Pandora FMS v7.0NG.760 e inferior permite un Cross-Site Request Forgery en la operación Bulk (User operation), lo que resulta en una elevación de privilegios al grupo de administradores. |
13-05-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2022-26308 |
Pandora FMS v7.0NG.760 e inferior permite un control de acceso inadecuado en Configuración (Almacén de credenciales) donde un usuario con el rol de Operador (Escritura) puede crear, borrar y ver claves existentes que estén fuera del rol previsto. |
13-05-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 761 de Pandora FMS. |
Ártica PFMS |
Análisis externo |
| CVE-2021-46681 |
Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "massive operation". |
21-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. |
Ártica PFMS |
Análisis interno |
| CVE-2021-46680 |
Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "module form". |
21-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. |
Ártica PFMS |
Análisis interno |
| CVE-2021-46679 |
Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "service elements". |
21-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. |
Ártica PFMS |
Análisis interno |
| CVE-2021-46678 |
Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "service". |
21-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. |
Ártica PFMS |
Análisis interno |
| CVE-2021-46677 |
Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "event filter". |
21-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. |
Ártica PFMS |
Análisis interno |
| CVE-2021-46676 |
Existe una vulnerabilidad XSS en la versión 756 e inferior de Pandora FMS, que permite a un atacante realizar ejecuciones de código javascript a través del campo "transactional maps". |
21-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 757 de Pandora FMS. |
Ártica PFMS |
Análisis interno |
| CVE-2022-0507 |
Se ha descubierto una potencial vulnerabilidad de seguridad en la API de Pandora. Rango de versiones afectado de Pandora FMS: todas las versiones de la versión NG hasta OUM 759. Esta vulnerabilidad podría permitir a un atacante con una IP autenticada realizar una inyección SQL. |
10-02-2022 |
Esta vulnerabilidad ha sido solucionada en la versión 760 de Pandora FMS. |
Ártica PFMS |
- |
