Nagios Log Server 跨站腳本漏洞預警

一、漏洞情況

近日，Nagios發布了Nagios Log Server存在跨站腳本漏洞的風險通告，漏洞CVE編號為CVE-2021-35478和CVE-2021-35479。攻擊者可利用該漏洞執行惡意JavaScript代碼，實現竊取cookies或重定向用戶等攻擊。該漏洞POC已公開。目前廠商已發布安全版本修復該漏洞，建議受影響用戶及時升級到安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞描述

Nagios Log Server是美國Nagios公司的一套集中式日志管理、監控和分析軟件。

這些漏洞是由于在后臺系統時當惡意JavaScript或HTML代碼作為網頁應用的輸入存儲，在動態生成的網頁中使用的代碼未能采用正確的HTML編碼。攻擊者可利用漏洞執行惡意JavaScript代碼，實現竊取cookies或重定向用戶等攻擊。

三、影響范圍

Nagios Log Server 2.1.8

四、安全建議

建議受影響用戶及時升級至Nagios Log Server 2.1.9版本進行防護。

五、參考鏈接

https://www.nagios.com/products/nagios-log-server/