Vigil@nce : Nagios, Cross Site Scripting via statusmap
mars 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans le
programme CGI statusmap.cgi de Nagios, afin d’exécuter du code
JavaScript dans le contexte de l’administrateur connecté.
– Gravité : 2/4
– Date création : 11/03/2011
PRODUITS CONCERNÉS
– Nagios
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme statusmap.cgi de Nagios génère un graphe contenant
l’état des machines.
Son paramètre "layer" indique les noms des groupes de machine à
afficher. Cependant, ce paramètre n’est pas filtré avant d’être
inséré dans la page HTML générée par Nagios.
Un attaquant peut donc provoquer un Cross Site Scripting dans le
programme CGI statusmap.cgi de Nagios, afin d’exécuter du code
JavaScript dans le contexte de l’administrateur connecté.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Nagios-Cross-Site-Scripting-via-statusmap-10447