一、 漏洞 CVE-2025-60425 基础信息
漏洞信息
# N/A
## 概述
Nagios Fusion 在启用了双因素认证(2FA)的情况下,未使已存在的会话令牌失效,存在安全隐患。
## 影响版本
- Nagios Fusion v2024R1.2
- Nagios Fusion v2024R2
## 细节
在启用双因素认证后,系统未正确使用户之前已存在的会话令牌失效。这使得攻击者可以利用已获取的有效会话令牌,在用户启用 2FA 后继续冒充其身份。
## 影响
攻击者可通过对已存在的有效会话令牌实施会话劫持攻击,绕过双因素认证保护机制,以用户身份访问系统资源。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Nagios Fusion v2024R1.2 and v2024R2 does not invalidate already existing session tokens when the two-factor authentication mechanism is enabled, allowing attackers to perform a session hijacking attack.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Nagios Fusion 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nagios Fusion是美国Nagios公司的一个集中监控与可视化平台。 Nagios Fusion v2024R1.2版本和v2024R2版本存在安全漏洞,该漏洞源于启用双因素认证时未使现有会话令牌失效,可能导致会话劫持攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-60425 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/aakashtyal/Session-Persistence-After-Enabling-2FA-CVE-2025-60425 | POC详情 |
三、漏洞 CVE-2025-60425 的情报信息
-
标题: Nagios Changelogs | Nagios Enterprises -- 🔗来源链接
标签:
-
标题: GitHub - aakashtyal/Session-Persistence-After-Enabling-2FA-CVE-2025-60425 -- 🔗来源链接
标签:
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-60425
四、漏洞 CVE-2025-60425 的评论
暂无评论