jueves, 2 de junio de 2011

Cross Site Scripting en Nagios 3.2.3

Stefan Schurtz ha anunciado a través del bugtracker de Nagios que el famoso programa de código libre para la monitorización de redes es vulnerable a ataques de Cross Site Scripting.

La vulnerabilidad radica, como en la mayoría de los casos de XSS, en una falta de validación de valores suministrados por el usuario. Para ello, el usuario objetivo del ataque debería acceder a una URL especialmente manipulada, que, en concreto, contendría el ataque en el parámetro 'expand' del archivo 'config.cgi'. Como se puede ver en los siguientes ejemplos:



Desde la web oficial de Nagios indican que la solución es tan simple como escapar los caracteres especiales presentes en dicha variable a través de la función 'escape_string'.

La vulnerabilidad se ha verificado con éxito en la versión 3.2.3 de Nagios, aunque no se descarta que haya otras versiones afectadas.


Javier Rascón
jrascon@hispasec.com


Más información:

0000224: Cross-Site Scripting vulnerability in Nagios
http://tracker.nagios.org/view.php?id=224

1 comentario:

  1. Sweet blog! I found it while searching on Yahoo News. Do you have any suggestions armani exchange watch on how to get listed in Yahoo News? I’ve been trying for a while but I never seem to get there! Cheers.

    ResponderEliminar