BDU:2025-01884

Опубликовано: 13 фев. 2021

Источник: fstec

CVSS3: 6.1

CVSS2: 6.4

EPSS Высокий

Описание

Уязвимость сценария sshterm.php (usr/local/nagiosxi/html/admin/sshterm.php) инструмента для мониторинга Nagios XI связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Вендор

Nagios Enterprises LLC

Наименование ПО

Nagios XI

Версия ПО

5.7.5 (Nagios XI)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://assets.nagios.com/downloads/nagiosxi/versions.php

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-25299
CVE

EPSS

Процентиль: 99%

0.7993

Высокий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2021-25299

CVSS3: 6.1

nvd

почти 5 лет назад

Nagios XI version xi-5.7.5 is affected by cross-site scripting (XSS). The vulnerability exists in the file /usr/local/nagiosxi/html/admin/sshterm.php due to improper sanitization of user-controlled input. A maliciously crafted URL, when clicked by an admin user, can be used to steal his/her session cookies or it can be chained with the previous bugs to get one-click remote command execution (RCE) on the Nagios XI server.

GHSA-wc62-jg96-f7jf

github

больше 3 лет назад