Japan Vulnerability Notes

脆弱性対策情報ポータルサイトJVN (Japan Vulnerability Notes)に掲載された記事「JVNVU#92648323 - NagiosQL にクロスサイトスクリプティングの脆弱性」が、NagiosQLにクロスサイトスクリプティングの脆弱性が存在していることを伝えた。開発者が提供しているパッチを適用することが推奨される。

報告によればクロスサイトスクリプティングの脆弱性が存在するのはNagiosQL 3.2 Service Pack 2またはそれ以前のバージョン。txtSearchパラメータの処理に不具合がありクロスサイトスクリプティングの脆弱性につながっているという。このセキュリティ脆弱性を利用されるとユーザのブラウザで任意のスクリプトが実行される可能性がある。

この脆弱性は専門的な知識を持たないユーザであってもインターネット経由で攻撃が可能という点が特に問題視される。認証なども要求されず、リンクをクリックするといった程度の操作で攻撃が実施される可能性がある。NagiosQL 3.2 Service Pack 2またはこれよりも前のバージョンを使用している場合には素早い対応が推奨される。