聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这四个漏洞的编号从CVE-2023-40931到CVE-2023-40934,影响 Nagios XI 5.11.1及以下版本。研究员在2023年8月4日报送这些漏洞,厂商在9月11日已在版本5.11.2中修复。
Outpost24 公司的研究员 Astrid Tedenbrant 表示,“其中三个漏洞(CVE-2023-40931、CVE-2023-40933和CVE-2023-40934)可导致用户以各种权限级别,通过SQL注入访问数据库字段。通过这些漏洞获得的数据可能用于在产品中进一步提权并获得敏感的用户数据如密码哈希和API令牌。”
CVE-2023-40932与Custom Logo 组件中的XSS 缺陷有关,可用于读取敏感数据如从登录页面获取明文密码。
这些漏洞简述如下:
CVE-2023-40931:Banner 确认端点中的SQL注入
CVE-2023-40932:Custom Logo组件中的XSS
CVE-2023-40933:Announcement Banner 设置中的SQL 注入
CVE-2023-40934:Core配置管理器 (CCM) 中Host/Service 提权中的SQL注入
这三个SQL注入漏洞如遭成功利用,可导致认证攻击者执行任意SQL命令,而XSS漏洞可用于注入任意JavaScript 以及读取和修改页面数据。这并非Nagios XI 中首次出现安全问题。2021年,Skylight Cyber 和 Claroty 公司发现12个漏洞,可用于劫持基础设施并实现远程代码执行后果。
https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh