freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Nagios XI 网络监控软件曝出多个安全漏洞
2023-09-21 11:21:52
所属地 上海

Security Affairs 网站披露,Outpost 24 的研究人员 Astrid Tedenbrant 在 Nagios XI 网络和 IT 基础架构监控与管理解决方案中发现四个漏洞,漏洞分别追踪为 CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934,可能导致信息泄露和权限升级。1695266706_650bb792b689a0bc8c101.png!small?1695266706428

Nagios XI 可监控所有关键任务基础设施组件,其中主要包括应用程序、服务、操作系统、网络协议、系统指标和网络基础设施,目前全球有成千上万的实体组织正在在使用它。

据悉,这些安全漏洞主要影响到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入问题,网络可利用这几个漏洞提升自身权限,并获取敏感的用户数据,包括密码哈希和 API 令牌。

漏洞 CVE-2023-40932 是一个通过自定义徽标组件的跨站点脚本问题,网络攻击者可以触发该安全漏洞来读取和修改目标受害者的页面数据(包括登录表单中的纯文本密码)。

Outpost24 在发布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三个漏洞允许具有不同权限级别的用户通过 SQL 注入访问数据库字段,从这些漏洞获得的数据可能用于进一步提升产品中的权限,并获取密码哈希和 API 令牌等敏感用户数据。

第四个漏洞(CVE-2023-40932)允许通过自定义徽标组件进行跨站点脚本编写,该组件将在每个页面上呈现,包括登录页面,这就可能被网络攻击者用来读取和修改页面数据,例如登录表单中的纯文本密码。

Nagios XI 公司于 2023 年 9 月 11 日发布了 5.11.2 版,解决了上述漏洞问题。

值得一提的是,2021 年 9 月,工业网络安全公司 Claroty 的研究人员也曾在 Nagios 中发现了 11 个漏洞。据悉,漏洞可能导致服务器端请求伪造(SSRF)、欺骗、本地权限升级、远程代码执行和信息泄露。

文章来源:

https://securityaffairs.com/151138/security/nagios-xi-flaws.html?_gl=1*lmskas*_ga*NjYyNDMxOTU5LjE2MzU5OTc2MDM.*_ga_NPN4VEKBTY*MTY5NTI2MTk2Mi4xMzQuMC4xNjk1MjYxOTYyLjYwLjAuMA..*_ga_8ZWTX5HC4Z*MTY5NTI2MTk2Mi4xMTUuMC4xNjk1MjYxOTYyLjAuMC4w&_ga=2.153428792.1488999007.1695261963-662431959.1635997603

# 漏洞利用
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者