漏洞关键信息 漏洞类型 Cross-Site Scripting (XSS) 漏洞 影响范围 Nagios XI < 2011R1.9 描述 多个XSS漏洞存在于Nagios XI中,尤其是登录页存在XSS漏洞。 使用 参数可以传递XSS,例如: 测试版本 2011R1.8,测试日期:2011年10月28日 漏洞修复 详细修复信息见 (2011R1.9 - 12/07/2011) 时间线 2011-11-16:报告给Nagios Enterprises 2011-11-16:确认 2011-12-13:Nagios XI 2011R1.9发布 2011-12-14:Nagios Enterprises报告修复 2011-12-14:公开披露 反射型XSS(Reflected XSS) 受影响页面: 变量:无 PoCs: 存储型XSS(Stored XSS) 受影响页面: 变量: 可在“My Reports”中存储XSS,但仅对已登录用户可见。 注入方法: 1. 查看报告并保存,例如: 2. 使用包含XSS的名称,例如: