2012R2.4 より前の Nagios XI の tfPassword パラメーターの SQL インジェクション

high Nessus プラグイン ID 71636

概要

リモートホストに、SQL インジェクションの脆弱性の影響を受ける Web アプリケーションがあります。

説明

リモート Web サーバーでホストしている Nagios Core Config Manager(NagiosQL の Nagios XI 向け修正版)のバージョンは、SQL インジェクションの脆弱性の影響を受けます。「functions/prepend_adm.php」スクリプトにその脆弱性が存在するため、「tfPassword」パラメーターへのユーザー指定の入力を、データベースクエリで使用する前に、適切にサニタイズすることに失敗しています。これによって、攻撃者がこうしたクエリを操作し、任意のデータの操作や漏洩につながる可能性があります。

ソリューション

Nagios XI 2012R2.4 以降にアップグレードしてください。

参考資料

https://assets.nagios.com/downloads/nagiosxi/CHANGES-2012.TXT

http://www.nessus.org/u?888e1914

プラグインの詳細

深刻度: High

ID: 71636

ファイル名: nagiosxi_2012r2_4.nasl

バージョン: 1.7

タイプ: remote

ファミリー: CGI abuses

公開日: 2013/12/26

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:nagios:nagios_xi, cpe:/a:nagiosql:nagiosql

必要な KB アイテム: www/nagios_xi, www/nagiosql

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

Nessus によりエクスプロイト済み: true

パッチ公開日: 2013/9/24

脆弱性公開日: 2013/11/13

参照情報

CVE: CVE-2013-6875

BID: 63754