Nagios statusmap.cgi statusmap.c ‘layer’跨站脚本攻击漏洞

漏洞信息详情

Nagios statusmap.cgi statusmap.c ‘layer’跨站脚本攻击漏洞

• CNNVD编号：CNNVD-201105-014
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-1523
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2011-05-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-05-04
  
• 厂        商：
  
  nagios
• 漏洞来源：

Nagios是美国程序员Ethan Galstad所研发的一套开源的系统运行状态和网络信息监控程序。该程序提供网络服务监控、主机资源监控、短信报警等功能。

Nagios 3.2.3及之前版本中存在跨站脚本攻击漏洞。由于向statusmap.cgi的statusmap.c发送的layer参数还没有经过正确过滤就返回给了用户，远程攻击者可以利用此漏洞注入任意web脚本或者HTML。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nagios.org/

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=690877

来源: www.rul3z.de

链接:http://www.rul3z.de/advisories/SSCHADV2011-002.txt

来源: tracker.nagios.org

链接:http://tracker.nagios.org/view.php?id=207

来源: SECUNIA

名称: 43287

链接:http://secunia.com/advisories/43287

来源: MLIST

名称: [oss-security] 20110328 Re: CVE Request — Nagios — XSS in the network status map CGI script

链接:http://openwall.com/lists/oss-security/2011/03/28/4

来源: MLIST

名称: [oss-security] 20110325 CVE Request — Nagios — XSS in the network status map CGI script

链接:http://openwall.com/lists/oss-security/2011/03/25/3