发布时间:2021-07-26 18:13:51,来源:北京奇虎科技有限公司
近日,Nagios发布了Nagios Log Server存在跨站脚本漏洞的风险通告,漏洞CVE编号为CVE-2021-35478和CVE-2021-35479。攻击者可利用该漏洞执行恶意JavaScript代码,实现窃取cookies或重定向用户等攻击。该漏洞POC已公开。目前厂商已发布安全版本修复该漏洞,建议受影响用户及时升级到安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
Nagios Log Server是美国Nagios公司的一套集中式日志管理、监控和分析软件。
这些漏洞是由于在后台系统时当恶意JavaScript或HTML代码作为网页应用的输入存储,在动态生成的网页中使用的代码未能采用正确的HTML编码。攻击者可利用漏洞执行恶意JavaScript代码,实现窃取cookies或重定向用户等攻击。
Nagios Log Server 2.1.8
建议受影响用户及时升级至Nagios Log Server 2.1.9版本进行防护。
https://www.nagios.com/products/nagios-log-server/