CVE-2023-7319CVE-2023-7319是Nagios Network Analyzer中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞影响2024R1之前的所有版本。攻击者可以通过Percentile Calculator菜单注入恶意JavaScript代码,由于应用程序对用户输入的验证和转义不充分,导致恶意脚本可以在其他用户的浏览器上下文中执行。此漏洞的成功利用可能导致敏感信息窃取、会话劫持、钓鱼攻击等安全问题。攻击者需要具备低权限用户账户,并需要诱导受害者与恶意内容进行交互才能触发漏洞。
Nagios Network Analyzer的Percentile Calculator功能存在输入验证不足的问题。攻击者可以在计算百分位数的参数中嵌入恶意脚本代码。由于服务端未对用户输入进行充分的HTML转义或输入验证,攻击者注入的JavaScript代码会被存储在后端。当其他用户访问该功能页面时,浏览器会解析并执行这些恶意脚本。攻击者可以利用此漏洞窃取受害者的会话Cookie、进行钓鱼攻击、修改页面内容或重定向用户到恶意网站。由于该漏洞需要用户交互才能触发,因此攻击复杂度相对较高,但仍对系统安全构成威胁。