Nagios XI “grab_request_var()” cross-site scripting sérülékenység


2010. szeptember 20. 07:23

CH azonosító

CH-3674

Angol cím

Nagios XI "grab_request_var()" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2010.09.15.

Súlyosság

Alacsony

Érintett rendszerek

Nagios Enterprises
Nagios XI

Érintett verziók

Nagios XI 2009.x

Összefoglaló

A Nagios XI olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS) támadásokat indíthatnak.

Leírás

Bizonyos scripteknek több paraméterrel átadott bemeneti adat, pl. az admin/users.php-nak a “sortby”, “sortorder”, “search”, “records” és “page” paraméterekkel átadott adat,  nincs megfelelően ellenőrizve az includes/utils.inc.php “grab_request_var()” függvénye által, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

A sérülékenységet a 2009R1.3B verzióban jelentették. Korábbi verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 41391
Gyártói referencia: assets.nagios.com

Legfrissebb sérülékenységek
CVE-2022-37055 – D-Link Routers Buffer Overflow sérülékenysége
CVE-2025-54988 – Apache Tika sérülékenysége
CVE-2025-66516 – Apache Tika sérülékenysége
CVE-2025-55182 – Meta React Server Components Remote Code Execution sérülékenysége
CVE-2025-59505 – Windows Smart Card Reader Elevation of Privilege sérülékenysége
CVE-2025-59511 – Windows WLAN Service Elevation of Privilege sérülékenysége
CVE-2021-26828 – OpenPLC ScadaBR Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE‑2025‑13486 – WordPress Advanced Custom Fields: Extended plugin sérülékenység
CVE-2025-8489 – WordPress King Addons for Elementor plugin sérülékenysége
CVE-2025-9491 – Microsoft Windows LNK File UI Misrepresentation Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »