CVE-2023-7312 CVSS 4.8 中危

CVE-2023-7312: Nagios Fusion 4.2.0之前版本存储型XSS漏洞

披露日期: 2025-10-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2023-7312

漏洞类型

存储型XSS

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Nagios Fusion < 4.2.0

漏洞概述

这是Nagios Fusion在处理Email Settings时存在的存储型跨站脚本漏洞。攻击者通过注入恶意JavaScript代码到Email Settings配置中，当其他管理员访问受影响页面时，恶意代码会在其浏览器中执行，从而窃取会话信息或执行其他恶意操作。

技术细节

漏洞源于Email Settings模块对用户输入缺乏充分的输入验证和输出编码。攻击者可以构造包含<script>标签或事件处理器的恶意payload，如'><script>alert(document.cookie)</script>，并将其保存到Email Settings配置中。由于应用在后续页面渲染时未对存储的数据进行适当转义，导致恶意脚本在其他用户访问时被执行。

攻击链分析

STEP 1

攻击者以管理员身份登录Nagios Fusion

STEP 2

导航至Email Settings配置页面

STEP 3

在Email Settings字段中注入XSS payload

STEP 4

保存配置，恶意代码被持久化存储

STEP 5

其他管理员访问Email Settings页面

STEP 6

恶意脚本在管理员浏览器中执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

影响范围

Nagios Fusion < 4.2.0

防御指南

临时缓解措施

在应用层对所有用户输入进行严格过滤和转义，使用白名单验证机制，并确保所有输出都经过HTML实体编码处理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表