CH azonosító
CH-6116Angol cím
Nagios XI Mass Acknowledgement Component URL Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.12.15.Súlyosság
AlacsonyÉrintett rendszerek
Mass Acknowledgement componentNagios Enterprises
Érintett verziók
Mass Acknowledgement component 1.x (Nagios XI)
Összefoglaló
A Nagios XI Mass Acknowledgement komponens egy sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (XSS) támadást hajthatnak végre.
Leírás
Az includes/components/massacknowledge/mass_ack.php-nak URL után átadott paraméterek nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.
A sérülékenységet az 1.2. verzióban jelentették, de egyéb kiadások is érintve lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: 0a29.blogspot.com
SECUNIA 47274