Impatto Sistemico

Alto (70.51)

Sintesi

Disponibili dei Proof of Concept (PoC) per le CVE-2025-44823 e CVE-2025-44824 – già sanata dal vendor – relative al prodotto Nagios Log Server, soluzione per la gestione e l’analisi dei log. Tale vulnerabilità potrebbe permettere ad un utente malevolo la possibilità di carpire informazioni sensibili e/o compromettere la disposibilità del servizio sui sistemi interessati.

Tipologia

• Information Disclosure
• Denial of Service

Descrizione e potenziali impatti

Nel dettaglio:

• la prima, identificatra tramite la CVE-2025-44823 di tipo “ Exposure of Sensitive Information ” e con score CVSS v3.x pari a 9.9, potrebbe consentire ad utente autenticato (anche non amministratore) l’accesso all’endpoint /api/system/get_users al fine di ottenere le chiavi API in chiaro di altri utenti (amministratori inclusi);
• la seconda, identificatra tramite la CVE-2025-44824 di tipo “ Improper Authorization ” e con score CVSS v3.x pari a 8.5, potrebbe consentire a un utente autenticato con permessi “read-only” di invocare l’endpoint /api/system/stop?subsystem=elasticsearch al fine di arrestare l’istanza Elasticsearch, causando l’interruzione temporanea della disponibilità del servizio di logging.

Prodotti e versioni affette

• Nagios Log Server, versioni precedenti alla 2024R1.3.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti interessati seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.