CVE-2013-10074: Nagios XI Tools Menu跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2013-10074

漏洞类型

XSS跨站脚本攻击

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nagios XI

漏洞概述

CVE-2013-10074是Nagios XI网络监控系统中存在的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞影响Nagios XI 2012R2.6之前的所有版本。漏洞位于Web界面的Tools Menu功能模块，由于应用程序对用户输入的恶意脚本内容缺乏充分的验证和适当的输出编码，导致攻击者可以在受影响的页面中注入任意JavaScript代码。当其他用户访问包含恶意脚本的页面时，这些脚本将在其浏览器上下文中执行，从而窃取会话令牌、劫持用户账户、进行钓鱼攻击或执行其他恶意操作。由于该漏洞需要低权限用户身份且需要用户交互才能触发，因此CVSS评分定为5.4（中危）。攻击者利用此漏洞可以获取受害者用户的敏感信息，包括认证凭证和个人数据，对企业网络安全构成一定威胁。

技术细节

Nagios XI的Tools Menu模块在处理用户提交的数据时存在输入验证不足的安全问题。攻击者可以通过Tools Menu的功能点（如自定义工具配置、监控配置导入等）注入恶意JavaScript或HTML代码片段。这些恶意内容会被存储在系统数据库中，当其他用户访问相关页面或触发特定功能时，服务器会将未经过滤的内容直接返回给客户端浏览器。浏览器会将这些内容作为合法脚本执行，从而实现跨站脚本攻击。攻击者通常利用此漏洞窃取用户会话cookie、伪造表单提交、修改页面显示内容或引导用户访问恶意网站。由于Nagios XI通常以高权限运行，攻击者成功利用XSS漏洞后可能进一步获取系统控制权限。攻击者需要先登录系统并拥有创建或修改工具配置的权限，然后通过构造包含script标签或事件处理器（如onerror、onload等）的Payload来触发漏洞。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Nagios XI版本，确认版本低于2012R2.6，并探测Tools Menu功能模块的访问点

STEP 2

步骤2: 身份认证

攻击者使用低权限账户登录Nagios XI系统，获取基本用户访问权限

STEP 3

步骤3: 构造恶意Payload

攻击者构造包含恶意JavaScript代码的XSS Payload，如<script>alert(document.cookie)</script>或更复杂的窃取脚本

STEP 4

步骤4: 注入恶意代码

通过Tools Menu功能模块将恶意Payload提交到服务器，由于缺乏输入过滤，恶意代码被存储在数据库中

STEP 5

步骤5: 等待触发

攻击者等待具有更高权限的用户（如管理员）访问包含恶意代码的页面或功能模块

STEP 6

步骤6: 脚本执行

当受害者访问受影响页面时，未经过滤的恶意脚本在其浏览器中执行，攻击者可窃取会话cookie或执行其他恶意操作

STEP 7

步骤7: 权限提升与数据窃取

利用窃取的会话凭证，攻击者可进一步劫持高权限账户，访问敏感监控数据或执行系统命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2013-10074 Nagios XI Tools Menu XSS PoC -->
<!-- Payload: <script>alert(document.cookie)</script> -->
<!-- Steps: -->
<!-- 1. Login to Nagios XI with low-privilege account -->
<!-- 2. Navigate to Tools Menu section -->
<!-- 3. Inject XSS payload in tool configuration field -->
<!-- 4. Wait for admin or other user to visit the affected page -->

<!-- Example HTTP POST Request -->
POST /nagiosxi/includes/components/nagioscorecfg/manage-tools.php HTTP/1.1
Host: target-server
Cookie: PHPSESSID=vulnerable_session
Content-Type: application/x-www-form-urlencoded

tool_name=<script>alert(document.cookie)</script>&tool_type=custom&tool_command=whoami

影响范围

Nagios XI < 2012R2.6

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）禁用或限制Tools Menu功能模块的访问权限，仅允许受信任的管理员使用；2）实施Web应用防火墙（WAF）规则检测和阻止XSS攻击特征；3）对所有用户输入启用严格的输入过滤和验证；4）使用HTTPOnly和Secure标志保护会话Cookie；5）监控Nagios XI的访问日志，排查异常请求模式。建议在条件允许时尽快升级到官方发布的安全版本以彻底消除该漏洞风险。