Nagios Log Server 跨站脚本漏洞预警

一、漏洞情况

近日，Nagios发布了Nagios Log Server存在跨站脚本漏洞的风险通告，漏洞CVE编号为CVE-2021-35478和CVE-2021-35479。攻击者可利用该漏洞执行恶意JavaScript代码，实现窃取cookies或重定向用户等攻击。该漏洞POC已公开。目前厂商已发布安全版本修复该漏洞，建议受影响用户及时升级到安全版本进行防护，并做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞描述

Nagios Log Server是美国Nagios公司的一套集中式日志管理、监控和分析软件。

这些漏洞是由于在后台系统时当恶意JavaScript或HTML代码作为网页应用的输入存储，在动态生成的网页中使用的代码未能采用正确的HTML编码。攻击者可利用漏洞执行恶意JavaScript代码，实现窃取cookies或重定向用户等攻击。

三、影响范围

Nagios Log Server 2.1.8

四、安全建议

建议受影响用户及时升级至Nagios Log Server 2.1.9版本进行防护。

五、参考链接

https://www.nagios.com/products/nagios-log-server/