Nagios XI远程命令执行漏洞风险通告
发布时间 2020-01-03漏洞编号和级别
CVE编号:CVE-2019-20197,危险级别:高危,CVSS分值:官方未评定
影响版本
Nagios XI 5.6.9 版本
漏洞概述
Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。
Nagios XI 5.6.9版本中存在安全漏洞。攻击者可通过向schedulereport.php文件发送带有shell元字符的‘id’参数利用该漏洞执行任意的操作系统命令。
漏洞验证
POC: https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html。
修复建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://www.nagios.org/。
参考链接
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534
京公网安备11010802024551号