Vigil@nce - Nagios : Cross Site Scripting de config.cgi
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer le programme config.cgi de Nagios, afin
de provoquer un Cross Site Scripting.
Gravité : 2/4
Date création : 06/06/2011
PRODUITS CONCERNÉS
– Nagios
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme CGI config.cgi affiche la configuration de Nagios.
La fonction display_command_expansion() du fichier cgi/config.c
affiche les commandes étendues. Son paramètre "expand" indique le
nom de la commande à afficher. Cependant, ce nom n’est pas filtré
avant d’être inséré dans la page HTML contenant le résultat de
l’expansion.
Un attaquant peut donc employer le programme config.cgi de Nagios,
afin de provoquer un Cross Site Scripting.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Nagios-Cross-Site-Scripting-de-config-cgi-10702