【漏洞通告】Nagios XI多个漏洞安全风险通告

近日，嘉诚安全监测到Nagios XI网络监控软件中存在多个SQL注入漏洞和XSS漏洞，成功利用这些漏洞可能敏感信息泄露和权限提升等。

Nagios XI是一种流行且广泛使用的商业监控解决方案，适用于IT基础设施和网络监控。它是开源Nagios Core监控平台的商业版本，并提供了附加功能来简化管理复杂IT环境的过程。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

1.CNNVD-202309-1915（CVE-2023-40931）

Banner确认端点中的SQL注入漏洞，经研判，该漏洞为高危漏洞。经过身份验证的威胁者可通过发送到/nagiosxi/admin/banner_message-ajaxhelper.php的POST请求中的ID参数执行SQL注入攻击，从而导致敏感信息泄露。

2.CNNVD-202309-1919（CVE-2023-40934）

CCM中主机/服务升级中的SQL注入漏洞，经研判，该漏洞为高危漏洞。经过身份验证的具有在核心配置管理器（CCM）中管理主机升级权限的威胁者可通过发送到/nagiosxi/includes/components/ccm/index.php端点的POST请求中的tfFirstNotif、tfLastNotif或tfNotifInterval参数执行SQL注入攻击，从而导致敏感信息泄露。

3.CNNVD-202309-1917（CVE-2023-40933）

Announcement Banner设置中的SQL注入漏洞，经研判，该漏洞为高危漏洞。经过身份验证的具有Announcement Banner配置权限的威胁者可通过update_banner_message（）函数的ID参数执行SQL注入攻击，从而导致敏感信息泄露。

4.CNNVD-202309-1918（CVE-2023-40932）

Custom Logo Component中的跨站脚本（XSS）漏洞，经研判，该漏洞为高危漏洞。经过身份验证的可以访问自定义Logo组件的威胁者可通过alt-text字段注入任意javascript或HTML。这可能会影响所有包含导航栏的页面，包括登录页面，并可能导致威胁者窃取明文凭据。

影响范围：

Nagios XI版本<= 5.11.1

根据影响版本中的信息，建议相关用户尽快更新至安全版本，即Nagios XI 5.11.2版本，下载链接请参考：

https://www.nagios.com/downloads/nagios-xi/change-log/