CVE-2025-34134CVE-2025-34134是Nagios XI中Business Process Intelligence (BPI)组件的一个高危远程代码执行漏洞。该漏洞存在于2024R1.4.2之前的所有Nagios XI版本中,由于对BPI配置参数缺乏充分的输入验证和清理,攻击者可以利用bpi_logfile和bpi_configfile参数实现任意文件写入。当写入的文件位于webroot目录且带有可执行扩展名时,攻击者可以通过Web应用程序触发执行这些文件,从而在Web应用程序用户的上下文中执行任意代码。此漏洞需要管理员级别权限才能利用,成功利用后可获得Web应用程序用户的命令执行权限,并可进一步横向移动控制底层主机操作系统。
该漏洞的核心问题在于Nagios XI的BPI组件对管理员可控的配置参数(bpi_logfile和bpi_configfile)缺乏充分的输入验证和路径安全检查。攻击者(需具备管理员权限)可以通过修改这些参数,将文件路径指向Web根目录下的任意位置,并利用BPI配置编辑器的功能写入恶意内容。由于这些写入的文件位于webroot内且可能被Web服务器当作可执行脚本处理(如.php、.phtml等扩展名),当用户通过HTTP请求访问这些文件时,服务器会解析并执行其中的恶意代码。这导致攻击者能够在Web应用程序用户(通常是nagios用户)的上下文中执行任意操作系统命令。攻击者通常会写入一个webshell或反弹shell脚本,然后通过HTTP请求触发执行,建立远程连接并获取服务器访问权限。