漏洞标题
N/A
漏洞描述信息
**争议** **Nagios XI 5.6.1允许通过用户名参数进行SQL注入到login.php?forgotpass(也被称为重置密码表单)。注意:供应商认为这个问题不是漏洞,因为这个问题似乎不是合法的SQL注入。POC没有显示使用提供变量可以进行的 valid注入,虽然传递的用户名值确实用于SQL查询,但在创建调用时,它通过SQL解编码函数传递。供应商试图重新创建这个问题,但没有成功。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Nagios XI 5.6.1 allows SQL injection via the username parameter to login.php?forgotpass (aka the reset password form). NOTE: The vendor disputes this issues as not being a vulnerability because the issue does not seem to be a legitimate SQL Injection. The POC does not show any valid injection that can be done with the variable provided, and while the username value being passed does get used in a SQL query, it is passed through SQL escaping functions when creating the call. The vendor tried re-creating the issue with no luck
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Nagios XI SQL注入漏洞
漏洞描述信息
Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。 Nagios XI 5.6.1版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
CVSS信息
N/A
漏洞类别
SQL注入