Risque

Injection de code indirecte à distance.

Systèmes affectés

Nagios, version 3.2.3 et versions antérieures.

Résumé

Plusieurs vulnérabilités dans Nagios permettent de réaliser de l'injection de code indirecte (XSS).

Description

Plusieurs vulnérabilités sont présentes dans Nagios et permettent de réaliser de l'injection de code indirecte :

  • un des paramètres en entrée de config.cgi est insuffisament vérifié ;
  • un des paramètres en entrée de statusmap.cgi est insuffisament vérifié.

Solution

La version 3.3.1 de Nagios remédie à ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation