当前位置:首页 > 漏洞预警 > 正文

Nagios Log Server跨站脚本漏洞预警

发布时间:2021-07-26 18:13:51,来源:北京奇虎科技有限公司

      一、 基本情况

近日,Nagios发布了Nagios Log Server存在跨站脚本漏洞的风险通告,漏洞CVE编号为CVE-2021-35478和CVE-2021-35479。攻击者可利用该漏洞执行恶意JavaScript代码,实现窃取cookies或重定向用户等攻击。该漏洞POC已公开。目前厂商已发布安全版本修复该漏洞,建议受影响用户及时升级到安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞描述

Nagios Log Server是美国Nagios公司的一套集中式日志管理、监控和分析软件。

这些漏洞是由于在后台系统时当恶意JavaScript或HTML代码作为网页应用的输入存储,在动态生成的网页中使用的代码未能采用正确的HTML编码。攻击者可利用漏洞执行恶意JavaScript代码,实现窃取cookies或重定向用户等攻击。

      三、 影响范围

Nagios Log Server 2.1.8

      四、 安全建议

建议受影响用户及时升级至Nagios Log Server 2.1.9版本进行防护。

      五、 参考链接

https://www.nagios.com/products/nagios-log-server/