Nagios XI 网络监控软件曝出多个安全漏洞

发布时间：2025-12-07 15:22:33 作者：玩站小弟

Security Affairs 网站披露，Outpost 24 的研究人员 Astrid Tedenbrant 在 Nagios XI 网络和 IT 基础架构监控与管理解决方案中发现四个漏洞，漏洞分。

Security Affairs 网站披露，网络Outpost 24 的监控研究人员 Astrid Tedenbrant 在 Nagios XI 网络和 IT 基础架构监控与管理解决方案中发现四个漏洞，漏洞分别追踪为 CVE-2023-40931、软件CVE-2023-40932 、曝出CVE-2023-40933、安全CVE-2023-40934，漏洞可能导致信息泄露和权限升级。网络

Nagios XI 可监控所有关键任务基础设施组件，监控其中主要包括应用程序、软件服务、模板下载曝出操作系统、安全网络协议、漏洞系统指标和网络基础设施，网络目前全球有成千上万的监控实体组织正在在使用它。

据悉，软件这些安全漏洞主要影响到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是建站模板 SQL 注入问题，网络可利用这几个漏洞提升自身权限，并获取敏感的用户数据，包括密码哈希和 API 令牌。

漏洞 CVE-2023-40932 是一个通过自定义徽标组件的跨站点脚本问题，网络攻击者可以触发该安全漏洞来读取和修改目标受害者的页面数据（包括登录表单中的源码下载纯文本密码）。

Outpost24 在发布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三个漏洞允许具有不同权限级别的用户通过 SQL 注入访问数据库字段，从这些漏洞获得的数据可能用于进一步提升产品中的权限，并获取密码哈希和 API 令牌等敏感用户数据。

第四个漏洞（CVE-2023-40932）允许通过自定义徽标组件进行跨站点脚本编写，云计算该组件将在每个页面上呈现，包括登录页面，这就可能被网络攻击者用来读取和修改页面数据，例如登录表单中的纯文本密码。

Nagios XI 公司于 2023 年 9 月 11 日发布了 5.11.2 版，解决了上述漏洞问题。

值得一提的是，源码库2021 年 9 月，工业网络安全公司 Claroty 的研究人员也曾在 Nagios 中发现了 11 个漏洞。据悉，漏洞可能导致服务器端请求伪造（SSRF）、欺骗、本地权限升级、远程代码执行和信息泄露。

Tag：

如何使用Xurlfind3r查找目标域名的已知URL地址
关于xurlfind3rxurlfind3r是一款功能强大的URL地址查询工具，该工具本质上是一个CLI命令行工具，可以帮助广大研究人员从多种在线源来查询目标域名的已知URL地址。功能介绍1、从被动在
2025-12-07
安全软件开发浅谈
前言数字化时代，软件安全已成为不可忽视的问题。软件安全不仅关系到数据的保密性、完整性和可用性，还直接影响到企业和个人的声誉和经济利益。本文剖析软件开发中的软件设计、可能存在的安全问题和相应的防护措施
2025-12-07
两招玩转阿里云系统事件监控
背景介绍在当今快速发展的数字化时代，IT 系统和应用程序对业务运营至关重要。为了确保顺畅的性能、可靠性和安全性，IT 团队依靠监控事件来实时检测、分析和响应问题。监控事件是指任何影响 IT 系统正常运
2025-12-07
CISO角色的下一步是什么？
CSO名人堂入选者预计未来几年将承担更广泛的职责、面临更多压力并肩负更高的责任。作为沃尔玛的执行副总裁兼CISO，Jerry Geisler是该公司的顶级高管。这一职位，加上公司在网络安全项目上的持续
2025-12-07
SideWinder 黑客在过去 2 年发起了超过 1,000 次网络攻击
自 2020 年 4 月以来，一个名为SideWinder的“攻击性”高级持续威胁 (APT) 组织与 1,000 多次新攻击有关。网络安全公司卡巴斯基Kaspersky）表示：“这个威胁行为者的一些
2025-12-07
React Router 漏洞可导致内容伪造与数据篡改
React应用广泛使用的路由库React Router近期曝出重大安全漏洞，攻击者可利用这些漏洞破坏内容、污染缓存并篡改预渲染数据。这些漏洞影响采用服务端渲染SSR）和加载器loaders）的Fram
2025-12-07