CH azonosító
CH-6117Angol cím
Nagios XI Multiple Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2011.12.15.Súlyosság
AlacsonyÖsszefoglaló
A Nagios XI több sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS) támadásokat hajthatnak végre.
Leírás
- Az includes/components/xicore/status.php-nak a “hostgroup” változóval átadott értékek nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngésző munkamenetében, az érintett oldal vonatkozásában.
- A reports/alertheatmap.php-nak a “host” változóval átadott értékek nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngésző munkamenetében, az érintett oldal vonatkozásában.
- A reports/histogram.php, reports/statehistory.php vagy a reports/notifications.php állományoknak a “host” változóval átadott értékek nincsenek megfelelően megtisztítva az includes/utils-links.inc.php “get_service_status_detail_link()” függvényével, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngésző munkamenetében, az érintett oldal vonatkozásában.
A sérülékenységeket a 2011r1.9 verzióban igazolták, de egyéb kiadások is érintve lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: 0a29.blogspot.com
SECUNIA 47266