CVE-2026-24891

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-24891
openITCOCKPIT is an open source monitoring tool built for different monitoring engines like Nagios, Naemon and Prometheus. Versions 5.3.1 and below contain an unsafe deserialization sink in the Gearman worker implementation. The worker function registered as oitc_gearman calls PHP's unserialize() on job payloads without enforcing class restrictions or validating data origin. While the intended deployment assumes only trusted internal components enqueue Gearman jobs, this trust boundary is not enforced in application code. In environments where the Gearman service or worker is exposed to untrusted systems, an attacker may submit crafted serialized payloads to trigger PHP Object Injection in the worker process. This vulnerability is exploitable when Gearman listens on non-local interfaces, network access to TCP/4730 is unrestricted, or untrusted systems can enqueue jobs. Default, correctly hardened deployments may not be immediately exploitable, but the unsafe sink remains present in code regardless of deployment configuration. Enforcing this trust boundary in code would significantly reduce risk and prevent exploitation in misconfigured environments. This issue has been fixed in version 5.4.0.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/openITCOCKPIT/openITCOCKPIT/releases/tag/openITCOCKPIT-5.4.0 Product Release Notes
https://github.com/openITCOCKPIT/openITCOCKPIT/security/advisories/GHSA-x4mq-8gfg-frc4 Exploit Mitigation Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:it-novum:openitcockpit:*:*:*:*:*:*:*:*
History

24 Feb 2026, 19:22

Type Values Removed Values Added
First Time It-novum openitcockpit
It-novum
CPE cpe:2.3:a:it-novum:openitcockpit:*:*:*:*:*:*:*:*
References () https://github.com/openITCOCKPIT/openITCOCKPIT/releases/tag/openITCOCKPIT-5.4.0 - () https://github.com/openITCOCKPIT/openITCOCKPIT/releases/tag/openITCOCKPIT-5.4.0 - Product, Release Notes
References () https://github.com/openITCOCKPIT/openITCOCKPIT/security/advisories/GHSA-x4mq-8gfg-frc4 - () https://github.com/openITCOCKPIT/openITCOCKPIT/security/advisories/GHSA-x4mq-8gfg-frc4 - Exploit, Mitigation, Vendor Advisory
Summary
  • (es) openITCOCKPIT es una herramienta de monitorización de código abierto diseñada para diferentes motores de monitorización como Nagios, Naemon y Prometheus. Las versiones 5.3.1 e inferiores contienen un sumidero de deserialización insegura en la implementación del worker de Gearman. La función worker registrada como oitc_gearman llama a unserialize() de PHP en las cargas útiles de los trabajos sin aplicar restricciones de clase ni validar el origen de los datos. Aunque el despliegue previsto asume que solo los componentes internos de confianza encolan trabajos de Gearman, este límite de confianza no se aplica en el código de la aplicación. En entornos donde el servicio o worker de Gearman está expuesto a sistemas no confiables, un atacante puede enviar cargas útiles serializadas maliciosas para desencadenar una inyección de objetos PHP en el proceso del worker. Esta vulnerabilidad es explotable cuando Gearman escucha en interfaces no locales, el acceso a la red a TCP/4730 no está restringido, o los sistemas no confiables pueden encolar trabajos. Los despliegues predeterminados y correctamente reforzados pueden no ser inmediatamente explotables, pero el sumidero inseguro permanece presente en el código independientemente de la configuración del despliegue. Aplicar este límite de confianza en el código reduciría significativamente el riesgo y evitaría la explotación en entornos mal configurados. Este problema ha sido corregido en la versión 5.4.0.

20 Feb 2026, 18:25

Type Values Removed Values Added
New CVE
Information

Published : 2026-02-20 18:25

Updated : 2026-02-24 19:22

NVD link : CVE-2026-24891

Mitre link : CVE-2026-24891

CVE.ORG link : CVE-2026-24891

JSON object : View

Products Affected

it-novum

  • openitcockpit
CWE
CWE-502

Deserialization of Untrusted Data