在Nagioses XI 5.6.9版本中,Nagioses的“报告”模块存在漏洞,经过身份验证的用户可以在Web服务器用户帐户的上下文中,向schedulereport.php文件发送恶意命令参数,实现远程命令执行。
【漏洞简介】
Nagioses是一款开源的电脑系统和网络监视工具,能有效监控Windows、Linux和Unix的主机状态,交换机路由器等网络设置,打印机等。在系统或服务状态异常时发出邮件或短信报警第一时间通知网站运维人员,在状态恢复后发出正常的邮件或短信通知。
近日,有安全人员公开,在Nagioses XI 5.6.9版本中,Nagioses的“报告”模块存在漏洞,经过身份验证的用户可以在Web服务器用户帐户的上下文中,向schedulereport.php文件发送恶意命令参数,实现远程命令执行。
【风险评级】高危
【影响范围】
Nagioses XI5.6.9
【漏洞描述】
Nagioses XI 5.6.9版本,在Nagioses的“报告”模块中,在schedulereport.php 处理参数时,可通过修改id的参数内容实现远程命令执行。攻击者需要获得Nagioses XI 的web账号,验证登录后才可以利用此漏洞。
以下是漏洞验证:
修改id参数发送POST请求
通过日志监控可看到,下载了1.php,并且成功执行了php
【修复建议】
1.建议服务器管理员配置复杂密码登录,避免被爆破攻击后再利用Nagioses XI远程命令执行漏洞。
2.配置受信任的源才能访问该服务。