Nagios XI < 2024R1.2.2 の複数の脆弱性

medium Nessus プラグイン ID 216939

Language:

概要

リモートホストに、複数の脆弱性の影響を受けるウェブアプリケーションがあります。

説明

Nagios XI の自己報告されたバージョンによると、リモートホスト上の Webmin のバージョンは次ぐのものを含む、複数の脆弱性の影響を受けます。

- Nagios XI 2024R1.2.2 は、お気に入りコンポーネントを介したクロスサイトリクエスト偽造 (CSRF) 攻撃に対して脆弱であり、POST ベースのクロスサイトスクリプティング (XSS) を可能にします。攻撃者がこれを悪用し、認証されたユーザーを騙してスクリプトの注入などの悪意のあるアクションを実行させることで、ユーザーセッションが危険に晒されたり、アプリケーション内で認証されていないアクションが引き起こされたりする可能性があります。(CVE-2024-549)

- Nagios XI 2024R1.2.2 は、履歴タブコンポーネントの SQL インジェクションの脆弱性の影響を受けます。リモートの攻撃者が細工されたペイロードを送信することでこの欠陥を悪用し、基盤となるデータベースへの認証されていないアクセスを許可する可能性があります。これにより、データの漏洩、変更、アプリケーションの完全な侵害が発生する可能性があります。(CVE-2024-54960)

- Nagios XI 2024R1.2.2 には、現在のすべてのユーザーのユーザー名とメールアドレスが表示されている複数のページに、認証されていないユーザーがアクセスできてしまうという脆弱性があります。攻撃者がこの情報漏洩の欠陥を利用して偵察活動を行い、フィッシング攻撃やさらなる悪用につながる可能性があります。(CVE-2024-54961)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。