🔴 严重 | CVE-2026-14453 — This vulnerability is a critical Server-Side Templ...
🔴 《严重安全漏洞:CVE-2026-14453》
CVSS 评分: 严重(9.6) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞(CVE-2026-14453)属于服务器端模板注入(Server-Side Template Injection, SSTI),对应 CWE-94(代码注入)。漏洞存在于 Centreon 的 centreon-open-tickets 模块中,最终可导致远程代码执行(Remote Code Execution, RCE)。
具体来说,message_confirm 字段在存储时未经过任何清理(sanitization),并且在渲染时使用了 Smarty 模板引擎,且未启用任何安全策略(security policy)。因此,任何经过身份验证的用户(authenticated user)都可以通过该字段向服务器注入并执行任意代码。
影响范围
- 受影响产品:Centreon Infra Monitoring 产品中的
centreon-open-tickets模块 - 具体版本信息:请参考官方发布页面(https://github.com/centreon/centreon/releases)获取受影响版本列表及修复版本
- 攻击条件:攻击者需要拥有有效的身份认证(authenticated user),无需特殊权限
风险分析
该漏洞的 CVSS 3.1 评分为 9.0(Critical),向量为 AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H,说明:
- 攻击途径(AV:N):通过网络远程发起攻击
- 攻击复杂度(AC:L):攻击难度低,不需要特殊条件
- 权限要求(PR:L):需要低权限(普通用户身份)
- 用户交互(UI:N):无需用户交互
- 影响范围(S:C):漏洞影响范围发生变化,可波及整个系统
- 机密性影响(C:H):可导致环境机密信息(environment secrets)泄露,如数据库凭据、API 密钥等
- 完整性影响(I:N):不直接影响数据完整性
- 可用性影响(A:H):可导致平台可用性受损,例如通过执行恶意代码造成服务中断
可能的攻击后果:
- 信息泄露:攻击者可通过执行任意代码读取服务器上的敏感文件,获取环境变量、配置文件、数据库密码等机密信息。
- 远程代码执行:攻击者可以在 Centreon 服务器上以 Web 服务进程的权限执行任意系统命令,进而完全控制服务器。
- 服务中断:通过执行破坏性命令或消耗系统资源,攻击者可能导致 Centreon Infra Monitoring 平台不可用,影响企业基础设施监控能力。
总结:这是一个高危漏洞,任何拥有 Centreon 用户账户的攻击者都可以利用该 SSTI 漏洞实现远程代码执行,导致敏感信息泄露和服务中断。建议立即升级到修复版本,并在升级前限制对 centreon-open-tickets 模块的访问。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-14453 |
| CVSS 评分 | 9.6 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H |
| CWE 分类 | CWE-94 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | bd4443e6-1eef-43f3-9886-25fc9ceeaae7 |
🔗 参考链接
💬 评论