Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer le programme config.cgi de Nagios, afin
de provoquer un Cross Site Scripting.

Gravité : 2/4

Date création : 06/06/2011

PRODUITS CONCERNÉS

– Nagios

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme CGI config.cgi affiche la configuration de Nagios.

La fonction display_command_expansion() du fichier cgi/config.c
affiche les commandes étendues. Son paramètre "expand" indique le
nom de la commande à afficher. Cependant, ce nom n’est pas filtré
avant d’être inséré dans la page HTML contenant le résultat de
l’expansion.

Un attaquant peut donc employer le programme config.cgi de Nagios,
afin de provoquer un Cross Site Scripting.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Nagios-Cross-Site-Scripting-de-config-cgi-10702