CVE-2025-34283CVE-2025-34283是Nagios XI中的一个信息泄露漏洞。该漏洞存在于使用Neptune主题的Nagios XI版本中,在2024R1.4.2之前的版本中,已认证但不具备API访问权限的用户可以通过特定的界面操作查看自己或其他用户的API密钥值。攻击者利用此漏洞可以获取有效的API密钥,从而以受害者身份访问Nagios XI的API功能,执行未授权的操作。该漏洞的CVSS评分为6.5,属于中等严重程度,主要影响机密性,因为攻击者可以获取敏感的API凭证。
该漏洞的根本原因在于Nagios XI的Neptune主题在处理用户界面时存在访问控制缺陷。当用户访问特定的页面或执行特定操作时,系统错误地向前端返回了API密钥信息,而没有正确检查用户是否具有API访问权限。具体来说,即使用户的账户设置中禁用了API访问,但通过Neptune主题的某些功能路径,API密钥仍然会被显示在页面上。攻击者可以通过标准用户界面而非API请求来触发此漏洞,这意味着任何具有有效账户但缺乏API权限的用户都可能利用此漏洞获取API密钥。