Nagios XI多个远程安全漏洞

2013-02-06T00:00:00
ID SSV:60628
Type seebug
Reporter Root
Modified 2013-02-06T00:00:00

Description

Bugtraq ID:57672

Nagios是一款免费开放源代码的主机和服务监视软件

Nagios存在多个安全漏洞,包括: -Alert Cloud组件存在反射型跨站脚本漏洞,可获得敏感信息或劫持用户会话。 -Nagios QL存在存储型跨站脚本漏洞,可获得敏感信息或劫持用户会话。 -Autodiscovery没有正确过滤输入,允许攻击者提交恶意作业执行任意代码。 -'admin/commandline.php'脚本不正确过滤用户提交的参数,允许攻击者利用漏洞注入任意SQL。 -Nagios QL存在跨站请求伪造漏洞,允许攻击者利用漏洞执行恶意操作。 -存在配置文件注入漏洞,可对服务程序进行拒绝服务攻击。 0 Nagios XI 2012R1.5b 厂商解决方案

目前没有详细解决方案提供: http://www.nagios.org/