CH azonosító
CH-3674Angol cím
Nagios XI "grab_request_var()" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2010.09.15.Súlyosság
AlacsonyÖsszefoglaló
A Nagios XI olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS) támadásokat indíthatnak.
Leírás
Bizonyos scripteknek több paraméterrel átadott bemeneti adat, pl. az admin/users.php-nak a “sortby”, “sortorder”, “search”, “records” és “page” paraméterekkel átadott adat, nincs megfelelően ellenőrizve az includes/utils.inc.php “grab_request_var()” függvénye által, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
A sérülékenységet a 2009R1.3B verzióban jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 41391
Gyártói referencia: assets.nagios.com