CVE-2016-15051 Nagios XI 5.2.4之前版本Reports界面跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2016-15051

漏洞类型

XSS跨站脚本攻击

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nagios XI

漏洞概述

CVE-2016-15051是Nagios XI网络监控系统中的一个中等严重性跨站脚本(XSS)漏洞。该漏洞存在于Nagios XI的Reports报告功能界面中，攻击者可以通过在startdate（开始日期）和enddate（结束日期）字段中注入恶意脚本代码来利用此漏洞。Nagios XI是一款广泛使用的企业级IT基础设施监控工具，用于监控服务器、网络设备、应用程序等资源的状态和性能。由于Reports功能通常需要较高权限的用户访问，攻击者一旦成功利用此漏洞，不仅可以窃取受害者的会话cookie、劫持用户账户，还可能在受害者的浏览器上下文中执行任意JavaScript代码，从而进一步进行横向移动或数据窃取。该漏洞的CVSS评分为5.4，属于中等严重级别，攻击复杂度较低，但需要用户交互，机密性和完整性影响均为低。

技术细节

该漏洞的根本原因在于Nagios XI的Reports模块在处理用户输入的startdate和enddate参数时，未能对特殊字符进行充分的过滤和转义处理。当用户提交包含恶意JavaScript代码的日期参数时，这些未经过滤的输入会被直接嵌入到返回的HTML页面中。当其他用户查看这些报告页面时，浏览器会将恶意代码作为合法的HTML/JavaScript执行，从而实现跨站脚本攻击。攻击者可以利用此漏洞构造钓鱼链接或恶意页面，诱使受害者点击访问。一旦受害者访问，攻击者即可获取受害者的认证令牌、会话ID等敏感信息，甚至可以修改页面显示内容进行钓鱼攻击。漏洞影响Nagios XI 5.2.4之前的所有版本，包括5.2.0至5.2.3。修复方案为升级到5.2.4或更高版本，并在输入验证层面增加对特殊字符的过滤和HTML编码处理。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标系统是否运行Nagios XI，并确定其版本是否低于5.2.4

STEP 2

步骤2

构造恶意payload：攻击者构造包含恶意JavaScript代码的startdate和enddate参数值，如<script>alert(document.cookie)</script>

STEP 3

步骤3

诱骗受害者：攻击者通过钓鱼邮件、恶意链接或社会工程学手段诱导目标用户访问构造好的恶意URL

STEP 4

步骤4

触发漏洞：当受害者访问恶意URL时，Nagios XI的Reports功能将未经过滤的用户输入嵌入到响应页面中

STEP 5

步骤5

脚本执行：受害者的浏览器将恶意JavaScript代码作为合法脚本执行，从而泄露会话cookie或其他敏感信息

STEP 6

步骤6

账户劫持：攻击者利用窃取的会话信息劫持受害者账户，进一步进行横向移动或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2016-15051 PoC - Nagios XI XSS via startdate/enddate fields -->
<!-- This PoC demonstrates the XSS vulnerability in Nagios XI Reports interface -->

<!-- Method 1: Direct URL injection -->
<!-- Replace 'target' with the actual Nagios XI server hostname/IP -->
<!-- <script>alert('XSS vulnerability detected - CVE-2016-15051')</script> -->

<!-- Example malicious URL -->
<!-- https://target/nagiosxi/includes/componentsreporting/rss/rss.php?startdate=<script>alert(document.cookie)</script>&enddate=<script>alert('XSS')</script> -->

<!-- Method 2: Form-based PoC -->
<!-- 
<form action="https://target/nagiosxi/includes/componentsreporting/rss/rss.php" method="GET">
    <input type="hidden" name="startdate" value="<script>alert(document.cookie)</script>" />
    <input type="hidden" name="enddate" value="<script>alert('XSS')</script>" />
    <input type="submit" value="Exploit CVE-2016-15051" />
</form>
-->

影响范围

Nagios XI < 5.2.4

Nagios XI 5.2.0

Nagios XI 5.2.1

Nagios XI 5.2.2

Nagios XI 5.2.3

防御指南

临时缓解措施

如果无法立即升级到最新版本，可采取以下临时缓解措施：1) 在Web服务器层面配置URL过滤规则，拦截包含<script>等XSS特征字符的请求参数；2) 临时禁用Reports功能中startdate和enddate的可编辑输入，改为使用预定义的日期选择器；3) 限制Reports功能的访问权限，仅允许受信任的管理员访问；4) 启用Web应用防火墙规则对XSS攻击特征进行检测和阻断；5) 加强对用户会话的管理，定期刷新会话令牌；6) 监控Nagios XI的访问日志，及时发现异常访问行为。