[TLP:CLEAR] Icinga opravuje 2 zraniteľnosti v rôznych produktoch
Icinga opravuje 2 zraniteľnosti v rôznych produktoch [1]. Produkty a ich opravené verzie: Icinga 2 - 2.15.2, 2.14.8, 2.13.14 Icinga for Windows - 1.13.4, 1.12.4, 1.11.2
Autentizovanému lokálnemu útočníkovi je na systémoch Windows v dôsledku nesprávne nastavených oprávnení adresára Icinga 2 umožnené čítať synchronizovanú konfiguráciu a súkromné kľúče používateľa [1][2].
Zraniteľnosť sa nachádza v produktoch:
- Icinga 2 vo verziách (>=2.3 AND <2.13.14) OR (>=2.14 AND <2.14.8) OR (>=2.15 AND <2.15.2)
- Icinga for Windows vo verziách (>=1.11.0 AND <1.11.2) OR (>=1.12.0 AND <1.12.4) OR (>=1.13.0 AND <1.13.4)
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-24413 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 1. 2026.
Autentizovanému lokálnemu útočníkovi je v prostredí Icinga for Windows v dôsledku esprávne nastavených prístupových oprávnení adresárov s certifikátmi umožnené čítať súkromné kľúče používateľa [1][3].
Zraniteľnosť sa nachádza v produkte Icinga for Windows vo verziách (>=1.11.0 AND <1.11.2) OR (>=1.12.0 AND <1.12.4) OR (>=1.13.0 AND <1.13.4).
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-24414 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 1. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 30. 1. 2026.
