Security Affairs 網(wǎng)站披露，Outpost 24 的研究人員 Astrid Tedenbrant 在 Nagios XI 網(wǎng)絡(luò)和 IT 基礎(chǔ)架構(gòu)監(jiān)控與管理解決方案中發(fā)現(xiàn)四個(gè)漏洞，漏洞分別追蹤為 CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934，可能導(dǎo)致信息泄露和權(quán)限升級(jí)。

Nagios XI 可監(jiān)控所有關(guān)鍵任務(wù)基礎(chǔ)設(shè)施組件，其中主要包括應(yīng)用程序、服務(wù)、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、系統(tǒng)指標(biāo)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，目前全球有成千上萬的實(shí)體組織正在在使用它。

據(jù)悉，這些安全漏洞主要影響到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入問題，網(wǎng)絡(luò)可利用這幾個(gè)漏洞提升自身權(quán)限，并獲取敏感的用戶數(shù)據(jù)，包括密碼哈希和 API 令牌。

漏洞 CVE-2023-40932 是一個(gè)通過自定義徽標(biāo)組件的跨站點(diǎn)腳本問題，網(wǎng)絡(luò)攻擊者可以觸發(fā)該安全漏洞來讀取和修改目標(biāo)受害者的頁(yè)面數(shù)據(jù)（包括登錄表單中的純文本密碼）。

Outpost24 在發(fā)布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三個(gè)漏洞允許具有不同權(quán)限級(jí)別的用戶通過 SQL 注入訪問數(shù)據(jù)庫(kù)字段，從這些漏洞獲得的數(shù)據(jù)可能用于進(jìn)一步提升產(chǎn)品中的權(quán)限，并獲取密碼哈希和 API 令牌等敏感用戶數(shù)據(jù)。

第四個(gè)漏洞（CVE-2023-40932）允許通過自定義徽標(biāo)組件進(jìn)行跨站點(diǎn)腳本編寫，該組件將在每個(gè)頁(yè)面上呈現(xiàn)，包括登錄頁(yè)面，這就可能被網(wǎng)絡(luò)攻擊者用來讀取和修改頁(yè)面數(shù)據(jù)，例如登錄表單中的純文本密碼。

Nagios XI 公司于 2023 年 9 月 11 日發(fā)布了 5.11.2 版，解決了上述漏洞問題。

值得一提的是，2021 年 9 月，工業(yè)網(wǎng)絡(luò)安全公司 Claroty 的研究人員也曾在 Nagios 中發(fā)現(xiàn)了 11 個(gè)漏洞。據(jù)悉，漏洞可能導(dǎo)致服務(wù)器端請(qǐng)求偽造（SSRF）、欺騙、本地權(quán)限升級(jí)、遠(yuǎn)程代碼執(zhí)行和信息泄露。