Nagios XI cross-site scripting sérülékenységek


2012. június 18. 07:08

CH azonosító

CH-7047

Angol cím

Nagios XI "div" and "view" Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2012.06.14.

Súlyosság

Alacsony

Érintett rendszerek

Nagios Enterprises
Nagios XI

Érintett verziók

Nagios XI 2011.x

Összefoglaló

A Nagios XI sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.

Leírás

Az includes/components/graphexplorer/visApi.php részére a “div” és a nagiosxi/perfgraphs/index.php részére a “view” paraméteren keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.

A sérülékenység a 2011r3.0 előtti verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: assets.nagios.com
Egyéb referencia: 0a29.blogspot.dk
SECUNIA 49544

Legfrissebb sérülékenységek
CVE-2023-28712 – Osprey Pump Controller sérülékenysége
CVE-2023-28718 – Osprey Pump Controller sérülékenysége
CVE-2023-28648 – Osprey Pump Controller sérülékenysége
CVE-2023-28375 – Osprey Pump Controller sérülékenysége
CVE-2023-28395 – Osprey Pump Controller sérülékenysége
CVE-2023-28398 – Osprey Pump Controller sérülékenysége
CVE-2023-28654 – Osprey Pump Controller sérülékenysége
CVE-2023-27394 – Osprey Pump Controller sérülékenysége
CVE-2023-27886 – Osprey Pump Controller sérülékenysége
CVE-2023-1516 – RoboDK sérülékenysége
Tovább a sérülékenységekhez »