ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

Nagios Log Server =2.1.6 で見つかった保存された XSS の脆弱性 - すぐに更新

一般的なログ監視および管理アプリケーションである Nagios Log Server バージョン 2.1.6 (テスト時点で最新) をテストしたところ、Stored XSS 攻撃に対して脆弱であることがわかりました。

CVE ID: CVE-2020-16157

まとめ

Nagios Log Server は、組織がログを表示、並べ替え、および構成できるようにする、一般的な集中ログ管理、監視、および分析ソフトウェアです。アプリケーションのバージョン 2.1.6 は、保存された XSS に対して脆弱であることが判明しました。

ストアド クロス サイト スクリプティング攻撃では、ターゲット アプリケーション (データベース内など) に永続的に保存 (永続化) されるスクリプト (ペイロードと呼ばれる) を攻撃者が挿入します。典型的な例は、ブログやフォーラムの投稿のコメント フィールドに攻撃者によって挿入された悪意のあるスクリプトです。

影響

攻撃者 (この場合、認証された通常のユーザー) は、この重大度の高い脆弱性を利用して、Cookie を盗み、ユーザーをリダイレクトし、被害者 (この場合は管理者) に代わって任意のアクションを実行し、キーストロークを記録し、もっと。

攻撃者は、他のユーザーにエクスプロイトを含む特定の要求を行うように誘導する外部の方法を見つける必要はありません。むしろ、攻撃者はアプリケーション自体にエクスプロイトを配置し、被害者がそれに遭遇するのを待ちます。

脆弱性

氏名 または ユーザー名 /プロファイル ページまたは /admin/users/create ページは Stored XSS に対して脆弱です。ペイロードがこれらのフィールドのいずれかに保存されたら、アラートに移動します ページ (/alerts )、新しいアラートを作成し、[Email Users] を選択します 通知方法として .ユーザー リストが表示されると、以下に示すように、ペイロードが実行されることがわかります。

Nagios Log Server =2.1.6 で見つかった保存された XSS の脆弱性 - すぐに更新

タイムライン

  • 2020 年 7 月 8 日に Nagios チームに報告された脆弱性
  • 2020 年 7 月 28 日にリリースされた脆弱性に対する修正を含む Nagios Log Server 2.1.7

おすすめ

アプリケーションを最新バージョンに更新することを強くお勧めします。

参照

  • https://www.nagios.com/downloads/nagios-log-server/change-log/
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16157
  • https://nvd.nist.gov/vuln/detail/CVE-2020-16157

  1. WPForms Plugin 1.5.9 に XSS の脆弱性が見つかりました - すぐに更新してください

    WPForms プラグイン バージョン 1.5.8.2 以下は、プラグインを監査しているときに、認証済みの保存された XSS に対して脆弱であることがわかりました。データのサニタイズが改善された WPForms バージョン 1.5.9 が 2020 年 3 月 5 日にリリースされました。 CVE ID: CVE-2020-10385 まとめ WPForms は、300 万以上のアクティブ インストールを持つ人気のある WordPress フォーム プラグインです。認証されたクロスサイト スクリプティング (XSS) の脆弱性に対して脆弱であることが判明しました。 XSS は、被害者のセ

  2. SeedProd =5.1.0 による建設中およびメンテナンス モードの近日公開ページで XSS 脆弱性が見つかりました - すぐに更新します

    WordPress バージョン 5.1.0 以下の SeedProd プラグインによる建設中およびメンテナンス モード中のページは、プラグインを監査しているときに、保存された XSS に対して脆弱であることがわかりました。データのサニタイズが改善されたプラグイン バージョン 5.1.2 が 2020 年 6 月 24 日にリリースされました。 CVE ID: CVE-2020-15038 まとめ SeedProd による準備中およびメンテナンス モードのページは、100 万以上のアクティブ インストールを持つ人気のある WordPress プラグインです。ストアド クロスサイト スクリプ