Security Affairs 網站披露，Outpost 24 的研究人員 Astrid Tedenbrant 在 Nagios XI 網絡和 IT 基礎架構監(jiān)控與管理解決方案中發(fā)現(xiàn)四個漏洞，漏洞分別追蹤為 CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934，可能導致信息泄露和權限升級。

Nagios XI 可監(jiān)控所有關鍵任務基礎設施組件，其中主要包括應用程序、服務、操作系統(tǒng)、網絡協(xié)議、系統(tǒng)指標和網絡基礎設施，目前全球有成千上萬的實體組織正在在使用它。

據悉，這些安全漏洞主要影響到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入問題，網絡可利用這幾個漏洞提升自身權限，并獲取敏感的用戶數(shù)據，包括密碼哈希和 API 令牌。

漏洞 CVE-2023-40932 是一個通過自定義徽標組件的跨站點腳本問題，網絡攻擊者可以觸發(fā)該安全漏洞來讀取和修改目標受害者的頁面數(shù)據（包括登錄表單中的純文本密碼）。

Outpost24 在發(fā)布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三個漏洞允許具有不同權限級別的用戶通過 SQL 注入訪問數(shù)據庫字段，從這些漏洞獲得的數(shù)據可能用于進一步提升產品中的權限，并獲取密碼哈希和 API 令牌等敏感用戶數(shù)據。

第四個漏洞（CVE-2023-40932）允許通過自定義徽標組件進行跨站點腳本編寫，該組件將在每個頁面上呈現(xiàn)，包括登錄頁面，這就可能被網絡攻擊者用來讀取和修改頁面數(shù)據，例如登錄表單中的純文本密碼。

Nagios XI 公司于 2023 年 9 月 11 日發(fā)布了 5.11.2 版，解決了上述漏洞問題。

值得一提的是，2021 年 9 月，工業(yè)網絡安全公司 Claroty 的研究人員也曾在 Nagios 中發(fā)現(xiàn)了 11 個漏洞。據悉，漏洞可能導致服務器端請求偽造（SSRF）、欺騙、本地權限升級、遠程代碼執(zhí)行和信息泄露。