低危 Nagios XI命令注入漏洞

CVE编号

CVE-2020-13977

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-10

漏洞描述

Nagios是美国Nagios公司的一套开源的免费网络监视工具。 Nagios 4.4.5版本中存在注入漏洞。攻击者可通过修改的archive.json、objectjson.cgi和statusjson.cgi利用该漏洞修改警报直方图和趋势功能代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.nagios.org/projects/nagios-core/history/4x/

参考链接
https://anhtai.me/nagios-core-4-4-5-url-injection/
https://github.com/sawolf/nagioscore/tree/url-injection-fix
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://www.nagios.org/projects/nagios-core/history/4x/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	nagios	nagios	4.4.5	-
	运行在以下环境
	系统	debian_10	nagios4	*		Up to (including) 4.3.4-3
	运行在以下环境
	系统	debian_11	nagios4	*		Up to (excluding) 4.3.4-4
	运行在以下环境
	系统	debian_12	nagios4	*		Up to (excluding) 4.3.4-4
	运行在以下环境
	系统	debian_sid	nagios4	*		Up to (excluding) 4.3.4-4
	运行在以下环境
	系统	fedora_32	nagios-common	*		Up to (excluding) 4.4.6-1.fc32
	运行在以下环境
	系统	fedora_33	nagios-common	*		Up to (excluding) 4.4.6-1.fc33
	运行在以下环境
	系统	fedora_34	nagios-common	*		Up to (excluding) 4.4.6-4.fc34
	运行在以下环境
	系统	fedora_EPEL_7	nagios-common	*		Up to (excluding) 4.4.6-2.el7
	运行在以下环境
	系统	fedora_EPEL_8	nagios-common	*		Up to (excluding) 4.4.6-1.el8
	运行在以下环境
	系统	opensuse_Leap_15.2	nagios-theme-exfoliation	*		Up to (excluding) 4.4.6-lp152.2.3.1

阿里云评分 3.2

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-74	输出中的特殊元素转义处理不恰当（注入）
CWE-829	从非可信控制范围包含功能例程

Exp相关链接

- avd.aliyun.com