免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。能为网络安全领域的实践者提供有益的参考,共同推动网络安全保护工作的不断进步。
01
漏洞编号:
CVE-2023-40931:Banner acknowledging endpoint中的SQL注入漏洞。这意味着攻击者可以在该组件中执行恶意的SQL查询,可能导致数据泄露、数据破坏或系统被攻击者控制。
CVE-2023-40932:Custom Logo Component中的跨站脚本漏洞。攻击者可以将恶意脚本注入到自定义徽标组件中,当用户访问页面时,这些脚本可能被执行,导致跨站脚本攻击。
CVE-2023-40933:Announcement Banner Settings中的SQL注入漏洞。攻击者可以利用这个漏洞在该组件中执行恶意的SQL查询,可能导致数据泄露、数据破坏或系统被攻击者控制。
CVE-2023-40934:Core Configuration Manager (CCM)中的主机/服务升级的SQL注入漏洞。攻击者可以在CCM的主机/服务升级功能中执行恶意的SQL查询,可能导致数据泄露、数据破坏或系统被攻击者控制。
02
漏洞概述
Nagios XI是一款流行的网络监控和警报系统,它提供了全面的监控和报告功能,用于实时监测网络基础设施、应用程序、服务和服务器的状态。
03
漏洞类型
成功利用这三个 SQL 注入漏洞可能允许经过身份验证的攻击者执行任意 SQL 命令,而 XSS 错误可能被利用注入任意 JavaScript 并读取和修改页面数据。
04
影响版本
Nagios XI 版本 5.11.1 及更低版本
05
安全版本
Nagios XI 版本 5.11.2
06
修复建议
目前官方已发布漏洞修复版本,建议用户升级到安全版本
多一个点在看
多一条小鱼干
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。能为网络安全领域的实践者提供有益的参考,共同推动网络安全保护工作的不断进步。
原文始发于微信公众号(极与黑):漏洞预警 Nagios XI 存在严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论