一、 漏洞 CVE-2025-61789 基础信息
漏洞信息
                                        # Icinga DB 自定义变量过滤漏洞

## 漏洞概述

Icinga DB Web 是 Icinga 监控的图形界面模块。在版本 1.1.4 和 1.2.3 之前,存在一个安全漏洞,允许授权用户通过使用受保护或隐藏的自定义变量在过滤器中猜测其值。

## 影响版本

- Icinga DB Web < 1.1.4
- Icinga DB Web < 1.2.3

## 漏洞细节

- 权限要求:用户需已认证并具有 Icinga DB Web 访问权限
- 漏洞利用方式:在过滤器中使用受保护(`icingadb/protect/variables`)或被隐藏(`icingadb/denylist/variables`)的自定义变量
- 利用后果:攻击者可通过尝试不同的值猜测该变量的实际赋值

## 安全影响

该漏洞可能导致敏感变量的值被猜测泄露,降低系统的安全性。在更新版本 1.1.4 和 1.2.3 中,使用此类变量会导致系统返回错误,从而修复了此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Icinga DB Web hidden/protected custom variables are prone to filter enumeration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Icinga DB Web provides a graphical interface for Icinga monitoring. Before 1.1.4 and 1.2.3, an authorized user with access to Icinga DB Web, can use a custom variable in a filter that is either protected by icingadb/protect/variables or hidden by icingadb/denylist/variables, to guess values assigned to it. Versions 1.1.4 and 1.2.3 respond with an error if such a custom variable is used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
响应差异性信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Icinga DB Web 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Icinga DB Web是Icinga开源的一个Icinga DB数据库的图形界面。 Icinga DB Web 1.1.4之前版本和1.2.3之前版本存在安全漏洞,该漏洞源于授权用户可通过自定义变量猜测受保护或隐藏变量的值。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-61789 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-61789 的情报信息
四、漏洞 CVE-2025-61789 的评论

暂无评论

发表评论