CH azonosító
CH-4533Angol cím
Nagios "layer" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.03.10.Súlyosság
AlacsonyÖsszefoglaló
A Nagios olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
A “layer” paraméterrel a cgi-bin/statusmap.cgi-nek átadott bemeneti adat nincs megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, ami a felhasználó böngésző munkamenetében fut le egy érintett oldallal kapcsolatosan.
A sérülékenység a 3.2.3-as verzióban található, egyéb verziók is érintettek lehetnek.
Megoldás
Rosszindulatú karakterláncok szűrése proxy segítségévelTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43287
Gyártói referencia: tracker.nagios.org
Egyéb referencia: www.rul3z.de