一、漏洞情况

近日,Nagios发布了Nagios Log Server存在跨站脚本漏洞的风险通告,漏洞CVE编号为CVE-2021-35478和CVE-2021-35479。攻击者可利用该漏洞执行恶意JavaScript代码,实现窃取cookies或重定向用户等攻击。该漏洞POC已公开。目前厂商已发布安全版本修复该漏洞,建议受影响用户及时升级到安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞描述

Nagios Log Server是美国Nagios公司的一套集中式日志管理、监控和分析软件。

这些漏洞是由于在后台系统时当恶意JavaScript或HTML代码作为网页应用的输入存储,在动态生成的网页中使用的代码未能采用正确的HTML编码。攻击者可利用漏洞执行恶意JavaScript代码,实现窃取cookies或重定向用户等攻击。

三、影响范围

Nagios Log Server 2.1.8

四、安全建议

建议受影响用户及时升级至Nagios Log Server 2.1.9版本进行防护。

五、参考链接

https://www.nagios.com/products/nagios-log-server/