-
CVE-2023-40931
-
CVE-2023-40932
-
CVE-2023-40933
-
CVE-2023-40934
-
高危
Nagios XI是一种流行且广泛使用的商业监控解决方案,适用于IT基础设施和网络监控。它是开源Nagios Core监控平台的商业版本,并提供了附加功能来简化管理复杂IT环境的过程。
CVE-2023-40931
简述:Nagios XI在5.11.0-5.11.1版本的Announcement Banners功能在Banner确认端点中易受SQL注入漏洞的影响,经过身份验证的威胁者可通过发送到/nagiosxi/admin/banner_message-ajaxhelper.php的POST请求中的ID参数执行SQL注入攻击,从而导致敏感信息泄露。
简述:Nagios XI在自定义Logo组件中存在跨站脚本漏洞,可以访问自定义Logo组件的经过身份验证的威胁者可通过alt-text字段注入任意javascript或HTML。这可能会影响所有包含导航栏的页面,包括登录页面,并可能导致威胁者窃取明文凭据。
CVE-2023-40933
简述:Nagios XI的公告Banner设置的管理页面在/nagiosxi/admin/bbanner message-ajaxhelper.php端点中存在SQL注入漏洞,具有公告Banner配置权限的经过身份验证的威胁者可通过update_banner_message()函数的ID参数执行SQL注入攻击,从而导致敏感信息泄露。
简述:Nagios XI中存在SQL注入漏洞,具有在核心配置管理器中管理主机升级权限的经过身份验证的威胁者可通过发送到/nagiosxi/includes/components/ccm/index.php端点的POST请求中的tfFirstNotif、tfLastNotif或tfNotifInterval参数执行SQL注入攻击,从而导致敏感信息泄露。
-
Nagios XI <= 5.11.1
0x05 修复建议
原文始发于微信公众号(浅安安全):漏洞预警 | Nagios XI SQL注入、XSS漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论