Otras noticias
Más noticias
En el foro
Ir al foro de Seguridad

Cross Site Scripting en Nagios 3.2.3

Stefan Schurtz ha anunciado a través del bugtracker de Nagios que el famoso programa de código libre para la monitorización de redes es vulnerable a ataques de Cross Site Scripting.

03 Jun 2011 | HISPASEC.COM
L

a vulnerabilidad radica, como en la mayoría de los casos de XSS, en una falta de validación de valores suministrados por el usuario. Para ello, el usuario objetivo del ataque debería acceder a una URL especialmente manipulada, que, en concreto, contendría el ataque en el parámetro 'expand' del archivo 'config.cgi'. Como se puede ver en los siguientes ejemplos:

Desde la web oficial de Nagios indican que la solución es tan simple como escapar los caracteres especiales presentes en dicha variable a través de la función 'escape_string'.

La vulnerabilidad se ha verificado con éxito en la versión 3.2.3 de Nagios, aunque no se descarta que haya otras versiones afectadas.
Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [u], [s], [quote], [code], [spoiler]
Publicidad
Ahora en LaFlecha puedes encontrar Cursos y Másters

  • Endesa
  • ¿Quieres saberlo todo sobre Hacking?