新思科技网络安全研究中心发现Nagios XI存在三个漏洞

分享到: 微博; QQ; 微信; LinkedIn

Nagios是应用广泛的一种免费开源的IT 监控软件，能够监控几乎所有类型的组件，例如应用程序、网络协议、Web服务器、操作系统、系统指标、网站，中间件等。一旦被恶意利用，不法分子可以攻击基础设施。新思科技网络安全研究中心发现Nagios XI存在三个漏洞，包括SQL 注入、跨站脚本漏洞以及路径遍历导致任意文件删除。

Nagios XI是一款常用的应用程序、服务和网络监控软件，日前其被披露存在多个漏洞，包括SQL 注入、路径遍历以及跨站脚本漏洞，在通用漏洞披露库中编号分别为CVE-2021-33177、 CVE-2021-33178及 CVE-2021-33179 。

概述

新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件，拥有访问网络以及服务器配置和报告的特权。

漏洞：

CVE-2021-33177 – 批量修改工具中的身份验证后 SQL 注入。

CVE-2021-33178 – NagVis 报告模块中的身份验证后路径遍历漏洞。

CVE-2021-33179 – 核心配置管理器上的反射型跨站点脚本 (XSS)。

受影响的软件

CVE-2021-33177

Nagios XI 5.8.5 之前的版本。

CVE-2021-33178

Nagios XI 5.8.6 之前的版本（使用NagVis 插件）。该漏洞并不存在于 Nagios XI 代码本身，但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中，该组件可以独立升级到 2.0.9 或更高版本，或者在不需要时卸载。

CVE-2021-33179

Nagios XI 5.8.4 之前的版本。

漏洞影响

CVE-2021-33177

有权访问批量修改工具的经过身份验证的用户（例如 admin）可以将任意 SQL 注入 UPDATE 语句。在默认配置中，这允许执行任意 PostgreSQL 函数。

CVSS 3.1 评分： 5.2 （中等）

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C

CVE-2021-33178

有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户（例如 admin）可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。

CVSS 3.1 评分： 4.5（中等）

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

CVE-2021-33179

当用户点击恶意 URL 时，它可以在受攻击者的浏览器中执行任意 JavaScript 代码，所有 Nagios XI 本地会话数据都可用。

CVSS 3.1 评分： 4.3（中等）

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C

修复建议

CVE-2021-33177

升级到Nagios XI 5.8.5或更高版本。

CVE-2021-33178

NagVis插件升级到2.0.9或更高版本。此版本的 NagVis 插件绑定在 Nagios XI 5.8.6 或更高版本中。

CVE-2021-33179

升级到Nagios XI 5.8.4 或更高版本。

漏洞发现者

新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker®交互式应用安全测试(IAST)工具发现以上漏洞。

新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。

时间线

CVE-2021-33177

2021年5月12日：首次披露该漏洞

2021年6月4日：Nagios安全团队验证并确认漏洞

2021年7月15日：Nagios XI 5.8.5 发布，修复了 CVE-2021-33177漏洞

2021年10月13日：新思科技发布漏洞报告

CVE-2021-33178

2021年5月12日：首次披露该漏洞

2021年6月4日：Nagios安全团队验证并确认漏洞

2021年9月2日：NagVis 插件 2.0.9 发布，修复了 CVE-2021-33178漏洞

2021年10月13日：新思科技发布漏洞报告

CVE-2021-33179

2021年5月12日：首次披露该漏洞

2021年6月4日：Nagios安全团队验证并确认漏洞

2021年6月10日：Nagios XI 5.8.4 发布，修复了 CVE-2021-33179漏洞

2021年10月13日：新思科技发布漏洞报告

关键字：新思科技网络安全漏洞引用地址：新思科技网络安全研究中心发现Nagios XI存在三个漏洞

上一篇：派拓网络推出安全访问服务边缘解决方案Prisma SASE
下一篇：Akamai发现API漏洞对全球公司和个人均具有很高的风险

推荐阅读

2018年10月14日 | ADAS在欧洲的发展现状与影响ADAS装配率的原因

欧洲不仅是世界汽车工业重镇，也是最大的 ADAS 市场。广义来说，所有协助驾驶员进行驾驶，保证驾驶安全、驾驶舒适以及交通顺畅的智能系统都被欧盟视为 ADAS。从 2013 年开始，欧盟要求新车必须装配电子稳定控制（ESC）与防锁死刹车系统（ABS）；从 2014 年开始，欧盟将 ADAS 中的部分功能纳入其安全评级系统，可以说，欧洲是目前世界上对 ADAS ...

2019年10月14日 | Stm32f103c8t6工程模板（内部晶振）源码

虽说内部晶振相对外部晶振误差较大，但是在大部分情况下不需要太高的精确度，使用内部晶振就可以搞定。单片机源程序如下:#include "config.h"Sys_timeTypeDef Systime={0,0,0,0};u8 once=0;void Init_Systick(void) //滴答定时器{ SysTick_CLKSourceConfig(SysTick_CLKSource_HCLK); SysTick_Config(SystemCoreCl...

2020年10月14日 | 基于STC15F101W单片机调光灯/按键状态机源程序

基于STC15F101W调光灯，按键状态机，电脑USB供电，STC15F101W单片机驱动单片机源程序如下:/**********************************************程序名：LED程序产品代号：LED调光台灯硬件平台：STC15F100W (只有T0和T2两个定时器 )当前版本：1.0编写人：@Richard说明： ①适用于Led驱动板 ②可通...

2021年10月14日 | 基于51单片机的霍尔自行车里程测速仪

一.硬件方案以 51 单片机为核心，A44E 霍尔传感器测转数，实现对自行车里程/速度的测量统计，采用数码管实时显示自行车的里程数及速度。利用霍尔元件将自行车每转一圈的脉冲数传入单片机系统，然后单片机系统将信号经过处理送显示。主要由51单片机+最小系统+霍尔传感器+数码管+三极管+lm393+LED指示灯模块+按键；如图：二.设计功能（1）51单片机作为...

史海拾趣

BRIGHT公司的发展小趣事

BRIGHT公司不仅在电子产品领域取得了成功，还积极拓展酒店业务。他们成立了伯瑞特酒店集团，并在全国范围内开设了多家酒店。这些酒店以高品质的服务和独特的文化特色赢得了广大消费者的喜爱。其中，宁波伯瑞特酒店荣获了全国钻级酒店评定中的五钻酒家称号，千岛湖伯瑞特度假酒店也获得了金鼎特色文化主题饭店的荣誉。这些荣誉的获得不仅彰显了BRIGHT公司在酒店业务方面的实力，也为其未来的发展奠定了坚实的基础。

EXXELIA Group公司的发展小趣事

随着BRIGHT公司在国际市场上的不断拓展，其品牌和产品也引起了一定的争议。在一些国家和地区，BRIGHT公司的某些行为或言论引发了公众的不满和批评。然而，这并没有阻挡BRIGHT公司前进的步伐。他们坚持自己的发展策略，通过不断创新和改进产品，积极应对各种挑战和机遇。在国际市场上，BRIGHT公司逐渐树立起了自己的品牌形象，并为电子行业的发展做出了重要的贡献。

这些故事展示了BRIGHT公司在电子行业中的不同领域所取得的成就和发展。无论是无线耳机领域的开创者、太阳能领域的突破者，还是健康技术领域的创新者、酒店业务的拓展者，以及在国际市场上的拓展与争议，都体现了BRIGHT公司不断创新、追求卓越的精神。这些故事不仅反映了BRIGHT公司的发展历程，也展示了电子行业的多样性和活力。

B&B Electronics Manufacturing Company公司的发展小趣事

随着科技的不断进步，B&B公司意识到，要在竞争激烈的电子行业中立足，必须不断进行技术革新和产品升级。因此，公司加大了在研发上的投入，推出了一系列具有创新性的产品，如智能无线M2M和物联网连接解决方案。这些产品不仅提升了数据传输的效率和稳定性，也为客户提供了更加便捷和高效的解决方案。

FUJIKURA公司的发展小趣事

近年来，电子行业面临着技术更新迅速、市场需求多变等挑战。B&B公司积极应对这些挑战，不断调整和优化产品结构，加强技术创新和人才培养。同时，公司也密切关注行业动态和市场需求变化，为未来的发展做好充分准备。

这些故事虽然无法涵盖B&B公司发展的全部细节，但可以从不同侧面反映出公司在电子行业中的成长轨迹和发展脉络。作为一家在电子行业中具有一定影响力的公司，B&B公司的发展历程无疑是一个充满挑战和机遇的过程。

Etco Inc公司的发展小趣事

进入21世纪后，Etco Inc公司意识到全球化趋势的不可逆转。为了拓展国际市场，公司决定实施全球化战略。首先，公司在美国本土之外建立了多个生产基地和研发中心，以便更好地满足全球客户的需求。其次，Etco加强了与国际客户的合作与交流，积极参与国际展览和研讨会，提高了品牌知名度和影响力。这些举措使Etco在全球电子连接器市场中的份额不断攀升。

BEI Sensors公司的发展小趣事

自上世纪80年代起，Beckhoff便将基于PC的自动化新技术作为公司的发展理念。通过不断研发和创新，公司成功地将工业PC、现场总线模块、驱动产品和控制软件等整合为一套完整的、相互兼容的控制系统。这一创新为工控领域带来了革命性的变革，使得工业自动化系统更加开放、灵活和高效。

问答坊 | AI 解惑

PLD介绍 PLD介绍可编程逻辑器件PLD(Programable Logic Device)是允许用户编程(配置)实现所需逻辑功能的电路, 它与分立元件相比,具有速度快、容量大、功耗小和可靠性高等优点。由于集成度高，设计方法先进、现场可编程，可以设计各种数字电路，因此， ...… 查看全部问答∨	没有什么是安全的！有什么MCU是安全的呢。看了很多网站，几千RMB就能破解掉，窃取你的劳动成果，现在想开发一些又价值的产品都没什么心情了。可悲啊… 查看全部问答∨
DM642的Protel格式原理图库 DM642的Protel格式原理图库… 查看全部问答∨	20元打造经典PC遥控器（1）编者按：不久前曾发表了<打造超级PC遥控器>。那是一个带有4路立体声输入，一路输出的红外遥控音源切换器兼PC遥控器的DIY制作。因其带有音源切换功能所以要用的元件较多，电路也较复杂，对于一般缺乏电子制作经验的PCDIYer来说是有一定难度的。 ...… 查看全部问答∨
c8051f单片机使用经验总结 c8051f单片机是在MCS51单片机基础上发展起来的，既有继承，又有很大的创新。按照功能可分为专用型和通用型。专用型：100MHz高速型的如f120芯片；24位高分辨率AD的如f350芯片；带usb功能的芯片如f320和f340；超低功耗的芯片如f410；还有带CAN总 ...… 查看全部问答∨	Ghost盘正常装机，使用其他安装盘提示找不到硬盘。。。。。如题。。。向各位老大求救了。。。。… 查看全部问答∨
关于USB设备的读写要读写USB设备的数据 m_hDevice= CreateFile(DevInterface.DevicePath(),GENERIC_READ \|GENERIC_WRITE,FILE_SHARE_READ \| FILE_SHARE_WRITE,NULL,OPEN_EXISTING,0,NULL); 已经获得句柄 WriteFile(m_hDevice,szWriteBuffer,dwWriteByte,&dwWrit ...… 查看全部问答∨	2410 控制 18 路继电器的方案探讨有人给我推荐了一个方案： 3 片 74HC595 + 3 片 ULN2803 我想问下，这个方案行不行？另外， 2410 是通过 SPI 接口控制 74HC595 的吗？… 查看全部问答∨
UART串口系统初始化疑惑本人最近看一本《ARM9嵌入式技术及Linux高级实践教程》第五章基本接口实验的内容有些疑惑。 void changeclockdivider(int hdvin, int pdivn){ // hdvin,pdivn FCLK:HCLK:PCLK // 0,0 1:1:1 // 0,1 ...… 查看全部问答∨	LED产品应该是节能的还是耗能的在这个帖子里看见了一个让人吃惊的数据，“比阻容降压方案恒流精度高，且成本才二块左右的小功率10以内LED驱动方案 - https://bbs.eeworld.com.cn/thread-161865-1-1.html”，一个功率因数不到0.7的产品广告出现了。发帖子的人的本意如何姑且不 ...… 查看全部问答∨

小广播

PLD介绍 PLD介绍可编程逻辑器件PLD(Programable Logic Device)是允许用户编程(配置)实现所需逻辑功能的电路, 它与分立元件相比,具有速度快、容量大、功耗小和可靠性高等优点。由于集成度高，设计方法先进、现场可编程，可以设计各种数字电路，因此， ...… 查看全部问答∨	没有什么是安全的！有什么MCU是安全的呢。看了很多网站，几千RMB就能破解掉，窃取你的劳动成果，现在想开发一些又价值的产品都没什么心情了。可悲啊… 查看全部问答∨
DM642的Protel格式原理图库 DM642的Protel格式原理图库… 查看全部问答∨	20元打造经典PC遥控器（1）编者按：不久前曾发表了<打造超级PC遥控器>。那是一个带有4路立体声输入，一路输出的红外遥控音源切换器兼PC遥控器的DIY制作。因其带有音源切换功能所以要用的元件较多，电路也较复杂，对于一般缺乏电子制作经验的PCDIYer来说是有一定难度的。 ...… 查看全部问答∨
c8051f单片机使用经验总结 c8051f单片机是在MCS51单片机基础上发展起来的，既有继承，又有很大的创新。按照功能可分为专用型和通用型。专用型：100MHz高速型的如f120芯片；24位高分辨率AD的如f350芯片；带usb功能的芯片如f320和f340；超低功耗的芯片如f410；还有带CAN总 ...… 查看全部问答∨	Ghost盘正常装机，使用其他安装盘提示找不到硬盘。。。。。如题。。。向各位老大求救了。。。。… 查看全部问答∨
关于USB设备的读写要读写USB设备的数据 m_hDevice= CreateFile(DevInterface.DevicePath(),GENERIC_READ \|GENERIC_WRITE,FILE_SHARE_READ \| FILE_SHARE_WRITE,NULL,OPEN_EXISTING,0,NULL); 已经获得句柄 WriteFile(m_hDevice,szWriteBuffer,dwWriteByte,&dwWrit ...… 查看全部问答∨	2410 控制 18 路继电器的方案探讨有人给我推荐了一个方案： 3 片 74HC595 + 3 片 ULN2803 我想问下，这个方案行不行？另外， 2410 是通过 SPI 接口控制 74HC595 的吗？… 查看全部问答∨
UART串口系统初始化疑惑本人最近看一本《ARM9嵌入式技术及Linux高级实践教程》第五章基本接口实验的内容有些疑惑。 void changeclockdivider(int hdvin, int pdivn){ // hdvin,pdivn FCLK:HCLK:PCLK // 0,0 1:1:1 // 0,1 ...… 查看全部问答∨	LED产品应该是节能的还是耗能的在这个帖子里看见了一个让人吃惊的数据，“比阻容降压方案恒流精度高，且成本才二块左右的小功率10以内LED驱动方案 - https://bbs.eeworld.com.cn/thread-161865-1-1.html”，一个功率因数不到0.7的产品广告出现了。发帖子的人的本意如何姑且不 ...… 查看全部问答∨

对于神经网络和深度学习初学，请给一个学习大纲以下是一个适合神经网络和深度学习初学者的学习大纲：1. 基础数学知识复习基础数学概念，包括线性代数、微积分和概率统计等。学习与神经网络和深度学习相关的数学知识，如向量、矩阵运算、导数和概率分布等。2. 神经网络基础概念了解神经网络的基本 ...… 查看全部问答∨	对于vivado fpga入门，请给一个学习大纲当涉及到Vivado FPGA入门学习时，以下是一个学习大纲，帮助你建立起对Vivado工具链和FPGA设计流程的基本理解：第一阶段：基础知识FPGA基础概念：了解FPGA是什么以及其在数字电路设计中的作用。理解FPGA与ASIC和微控制器的区别。Verilog或VHDL编程语 ...… 查看全部问答∨
深度学习pytorch如何入门入门 PyTorch 深度学习需要以下步骤：1. 安装 PyTorch：首先，你需要在你的计算机上安装 PyTorch。你可以通过 PyTorch 的官方网站或者使用包管理工具如 pip 或者 conda 来安装。2. 学习基础知识：在你开始使用 PyTorch 之前，了解一些基本的深度学 ...… 查看全部问答∨	请问能否详细地讲解fpga dma 原理呢？ FPGA（现场可编程门阵列）是一种可以编程配置的硬件设备，广泛用于各种应用，包括数字信号处理、通信、视频处理等。DMA（Direct Memory Access，直接内存访问）是一种硬件特性，允许某些硬件子系统直接读写系统内存，而不需要CPU的介入。在FPGA中， ...… 查看全部问答∨
请推荐一些神经网络的基本原理入门教学以下是一些介绍神经网络基本原理的入门教学资源：《神经网络与深度学习》（Neural Networks and Deep Learning）作者：Michael Nielsen这本书提供了一个基于Python的深度学习实现的在线版本，适合初学者理解神经网络的基本原理和数学概念。《深度学 ...… 查看全部问答∨	对于基于zynq的fpga基础入门，请给一个学习大纲针对基于 Zynq 的 FPGA 基础入门，以下是一个学习大纲：1. FPGA 基础知识了解 FPGA 的基本概念和工作原理，包括可编程逻辑单元（PL）和处理系统（PS）的结构。学习 FPGA 的编程模型和开发流程，掌握常见的开发工具和软件环境。2. Zynq 器件介绍了解 ...… 查看全部问答∨
我想单片机软件编程入门，应该怎么做呢？要开始单片机软件编程的学习，您可以按照以下步骤进行：选择单片机和开发环境：首先，选择一款您感兴趣的单片机，并了解其相关的开发环境和工具。常见的单片机包括Arduino、STM32、PIC等，对应的开发环境有Arduino IDE、Keil、IAR等。学习基础知识 ...… 查看全部问答∨	单片机怎么入门啊作为电子工程师，你可以通过以下步骤入门单片机：学习基础知识：了解单片机的基本概念、原理和工作方式。学习数字电路、微处理器原理、嵌入式系统等基础知识，为后续的学习打下基础。选择合适的单片机：根据自己的需求和学习目标选择合适的单片机类 ...… 查看全部问答∨
我想51单片机c语言快速入门，应该怎么做呢？要快速入门51单片机的C语言编程，你可以按照以下步骤进行：选择合适的学习资源：寻找适合快速入门的教材或在线资源。可以选择一些简洁易懂、重点突出的教材或视频教程，快速了解C语言在单片机编程中的应用。学习C语言基础：着重学习C语言的基本语 ...… 查看全部问答∨	我想stc8g单片机编程入门，应该怎么做呢？了解如何入门STC8G单片机编程，可以按照以下步骤进行：熟悉STC8G单片机：首先要了解STC8G单片机的基本特性、功能和架构。了解单片机的引脚分配、内部存储器、时钟控制等基本信息，以便进行编程和应用开发。获取学习资料：寻找STC8G单片机的相关学习 ...… 查看全部问答∨

2021年10月14日 | 新思科技网络安全研究中心发现Nagios XI存在三个漏洞