CVE-2018-19410
CVE-2018-19410
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
Maturidade do exploit
Exploit funcional
PoC popular no GitHub (3 estrelas) — código de exploração amplamente disponível.
CVSS 9.8EPSS 86.5%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
21 nov 2018Publicada no NVD
25 jan 2024PoC pública
04 fev 2025Exploração ativa (CISA KEV)
Velocidade de armamento
1890 diasaté o primeiro PoC
2266 diasaté exploração ativa (KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O PRTG Network Monitor permite que qualquer pessoa na internet crie contas de administrador sem fazer login. Um atacante pode enviar uma solicitação especialmente preparada para adicionar novos usuários com controle total do sistema.
Detalhe técnico
Uma vulnerabilidade de Local File Inclusion (LFI) em /public/login.htm permite que atacantes não autenticados incluam e executem /api/addusers manipulando a diretiva 'include'. Fornecendo os parâmetros 'id' e 'users' em uma requisição HTTP crafted, um atacante consegue criar contas privilegiadas, incluindo administradores, sem autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
PRTG Network Monitor before 18.2.40.1683 allows remote unauthenticated attackers to create users with read-write privileges (including administrator). A remote unauthenticated user can craft an HTTP request and override attributes of the 'include' directive in /public/login.htm and perform a Local File Inclusion attack, by including /api/addusers and executing it. By providing the 'id' and 'users' parameters, an unauthenticated attacker can create a user with read-write privileges (including administrator).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
githubgithub.com/himash/CVE-2018-19410-POC★ 3vulncheckvulncheck.com/xdb/997f2d3dc749não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.