🔴 《严重安全漏洞:CVE-2026-14453》

CVSS 评分: 严重(9.6)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞(CVE-2026-14453)属于服务器端模板注入(Server-Side Template Injection, SSTI),对应 CWE-94(代码注入)。漏洞存在于 Centreon 的 centreon-open-tickets 模块中,最终可导致远程代码执行(Remote Code Execution, RCE)

具体来说,message_confirm 字段在存储时未经过任何清理(sanitization),并且在渲染时使用了 Smarty 模板引擎,且未启用任何安全策略(security policy)。因此,任何经过身份验证的用户(authenticated user)都可以通过该字段向服务器注入并执行任意代码。

影响范围

风险分析

该漏洞的 CVSS 3.1 评分为 9.0(Critical),向量为 AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H,说明:

  • 攻击途径(AV:N):通过网络远程发起攻击
  • 攻击复杂度(AC:L):攻击难度低,不需要特殊条件
  • 权限要求(PR:L):需要低权限(普通用户身份)
  • 用户交互(UI:N):无需用户交互
  • 影响范围(S:C):漏洞影响范围发生变化,可波及整个系统
  • 机密性影响(C:H):可导致环境机密信息(environment secrets)泄露,如数据库凭据、API 密钥等
  • 完整性影响(I:N):不直接影响数据完整性
  • 可用性影响(A:H):可导致平台可用性受损,例如通过执行恶意代码造成服务中断

可能的攻击后果

  1. 信息泄露:攻击者可通过执行任意代码读取服务器上的敏感文件,获取环境变量、配置文件、数据库密码等机密信息。
  2. 远程代码执行:攻击者可以在 Centreon 服务器上以 Web 服务进程的权限执行任意系统命令,进而完全控制服务器。
  3. 服务中断:通过执行破坏性命令或消耗系统资源,攻击者可能导致 Centreon Infra Monitoring 平台不可用,影响企业基础设施监控能力。

总结:这是一个高危漏洞,任何拥有 Centreon 用户账户的攻击者都可以利用该 SSTI 漏洞实现远程代码执行,导致敏感信息泄露和服务中断。建议立即升级到修复版本,并在升级前限制对 centreon-open-tickets 模块的访问。


🔍 技术细节

字段
CVE ID CVE-2026-14453
CVSS 评分 9.6 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H
CWE 分类 CWE-94
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 bd4443e6-1eef-43f3-9886-25fc9ceeaae7

🔗 参考链接